A biztonsági szakértők közepes súlyosságú Windows biztonsági rést fedeztek fel. Ez lehetővé teszi a távoli támadók számára, hogy tetszőleges kódot hajtsanak végre, és ez létezik a hibaobjektumok JScript kezelésében. A Microsoft még nem dobott ki javítást a hibára vonatkozóan. A Trend Micro Zero Day kezdeményező csoportja kiderítette, hogy a hibát Dmitri Kaslov fedezte fel a Telespace Systemsből.

A sebezhetőséget vadonban nem használják ki

Brian Gorenc, a ZDI igazgatója szerint nincs utalás arra, hogy a sebezhetőséget vadul kihasználják. Elmondta, hogy a hiba csak egy sikeres támadás része. Folytatta és kijelentette, hogy a sebezhetőség lehetővé teszi a kód végrehajtását egy homokozóban lévő környezetben, és a támadóknak további kihasználásokra lenne szükségük, hogy elkerüljék a homokozóból, és kódjukat egy célrendszeren futtassák.

A hiba lehetővé teszi a távoli támadók számára, hogy tetszőleges kódot hajtsanak végre a Windows telepítésein, de felhasználói beavatkozásra van szükség, és ez a dolgok kevésbé szörnyű. Az áldozatnak meg kell látogatnia egy rosszindulatú oldalt vagy meg kell nyitnia egy rosszindulatú fájlt, amely lehetővé teszi a rosszindulatú JScript futtatását a rendszeren.

A probléma a Microsoft ECMAScript szabványában található

Ez a JScript összetevő, amelyet az Internet Explorerben használnak. Ez problémákat okoz, mivel a szkriptben végrehajtott műveletekkel a támadók kiválthatják a mutató újbóli felhasználását a felszabadítás után. A hibát Redmondnak első alkalommal küldték vissza ez év januárjában. Most. Javítás nélkül nyilvánosságra hozzák a nyilvánosság számára. A hibát a CVSS pontszáma 6, 8 jelöli, mondja a ZDI, és ez azt jelenti, hogy mérsékelt súlyossággal bír.

Gorenc szerint a javítás a lehető leghamarabb úton lesz, de a pontos dátumot még nem fedik fel. Tehát nem tudjuk, szerepel-e benne a következő Patch kedden. Az egyetlen elérhető tanács a felhasználók számára, hogy az alkalmazáskal való kölcsönhatásukat megbízható fájlokra korlátozzák.