Varnostni strokovnjaki so odkrili ranljivost sistema Windows, ki je ocenjena kot srednje resna. To omogoča oddaljenim napadalcem, da izvršijo poljubno kodo in obstaja znotraj ravnanja s predmeti napak v JScript. Microsoft še ni predstavil popravka za napako. Trend Micro's Zero Day Initiative Group je razkril, da je pomanjkljivost odkril Dmitri Kaslov iz Telespace Systems.

Ranljivosti se v naravi ne izkorišča

Po besedah ​​Briana Gorenca, direktorja ZDI, ni nobenega znaka, da se ranljivost izkorišča v naravi. Pojasnil je, da bo hrošče le del uspešnega napada. Nadaljeval je in dejal, da ranljivost omogoča izvajanje kode v okolju s peskovnikom in napadalci bi potrebovali več podvigov, da bi ušli v peskovnik in izvedli svojo kodo v ciljnem sistemu.

Napaka omogoča oddaljenim napadalcem, da izvajajo poljubno kodo na namestitvah sistema Windows, vendar je potrebna interakcija uporabnika, zato so stvari manj grozne. Žrtev bi morala obiskati zlonamerno stran ali odpreti zlonamerno datoteko, ki bi omogočila izvedbo zlonamernega JScript v sistemu.

Napaka je v Microsoftovem standardu ECMAScript

To je komponenta JScript, ki se uporablja v Internet Explorerju. To povzroča težave, ker lahko z izvajanjem dejanj v skriptu napadalci sprožijo ponovno uporabo kazalca, potem ko se osvobodijo. Hrošč je bil prvič poslan v Redmond januarja letos. Zdaj. To se javnosti razkrije brez obliža. Napaka je označena z oceno CVSS 6, 8, pravi ZDI, kar pomeni, da se ponaša z zmerno resnostjo.

Po besedah ​​Gorenca bo obliž prišel v najkrajšem možnem času, vendar natančnega datuma ni razkril. Torej, ne vemo, ali se bo vključil v naslednji torek Patcha. Edini razpoložljivi nasvet je, da uporabniki omejijo interakcijo z aplikacijo na zaupanja vredne datoteke.