Експертите по сигурността откриха уязвимостта на Windows, оценена като средна тежест. Това позволява на отдалечените атакуващи да изпълняват произволен код и той съществува в рамките на обработката на обекти за грешка в JScript. Microsoft все още не разгърна кръпка за грешката. Инициативната група Zero Day от Trend Micro разкри, че недостатъкът е открит от Дмитри Каслов от Telespace Systems.

Уязвимостта не се използва в природата

Няма данни за уязвимостта, която се експлоатира в природата, според Брайън Горенк, директор на ZDI. Той обясни, че бъгът ще бъде само част от успешна атака. Той продължи и каза, че уязвимостта позволява изпълнение на код в пясъчна среда и нападателите ще се нуждаят от повече експлоатации, за да избягат от пясъчната кутия и да изпълнят кода си в целева система.

Недостатъкът позволява на отдалечените атакуващи да изпълняват произволен код на инсталации на Windows, но е необходимо взаимодействие с потребителя и това прави нещата по-малко ужасни. Жертвата ще трябва да посети злонамерена страница или да отвори злонамерен файл, който би позволил изпълнението на злонамерения JScript в системата.

Проблемът е в стандарта на ECMAScript на Microsoft

Това е компонентът JScript, който се използва в Internet Explorer. Това създава проблеми, тъй като извършвайки действия в скрипта, нападателите могат да задействат показалеца за повторно използване, след като бъде освободен. Грешката е изпратена за първи път в Редмънд през януари тази година. Сега. Тя се разкрива пред обществеността без лепенка. Недостатъкът е обозначен с оценка CVSS от 6, 8, казва ZDI и това означава, че парадира с умерена тежест.

Според Gorenc, кръпка ще бъде на път възможно най-скоро, но не е открита точна дата. Така че, ние не знаем дали тя ще бъде включена в следващия патч вторник. Единственият наличен съвет е потребителите да ограничат взаимодействието си с приложението до доверени файлове.