В последней порции патчей от MS вышло достаточно интересное исправление MS12-004 (MIDI File Parsing Remote Buffer Overflow) для MS Media Player, которое закрывает уязвимость с возможностью удаленного исполнения кода. После прочтения бюллетеня сразу стало понятно, что это довольно действенный способ установки вредоносных программ и в ближайшем будущем этот вектор распространения может быть активно задействован. Но давайте вначале поговорим о самой уязвимости, а она, на мой взгляд, довольно интересна. Этой уязвимости подвержены все существующие ОС от MS.
Уязвимость содержится в библиотеке winmm.dll, которая реализует все необходимое для обработки MIDI файлов. Кстати сам MIDI (Musical Instrument Digital Interface) формат уходит своими корнями в далекий 1982 год. Неплохое описание самого формата есть здесь. Ключевым моментом в этой уязвимости является сам формат MIDI, а точнее две структуры MThd и MTrk, которые заполняются в памяти.
