Eksperci ds. Bezpieczeństwa odkryli lukę w systemie Windows sklasyfikowaną jako średnia. Umożliwia to atakującym zdalnym wykonanie dowolnego kodu, który istnieje w ramach obsługi obiektów błędów w JScript. Microsoft nie wdrożył jeszcze łatki dla błędu. Grupa Zero Day Initiative firmy Trend Micro ujawniła, że ​​usterkę odkrył Dmitri Kaslov z Telespace Systems.

Luka nie jest wykorzystywana na wolności

Według Briana Gorenca, dyrektora ZDI, nic nie wskazuje na to, że luka jest wykorzystywana na wolności. Wyjaśnił, że błąd będzie tylko częścią udanego ataku. Kontynuował i powiedział, że ta luka umożliwia wykonanie kodu w środowisku piaskownicy, a osoby atakujące będą potrzebowały więcej exploitów, aby uciec z piaskownicy i wykonać swój kod w systemie docelowym.

Wada pozwala zdalnym atakującym na wykonanie dowolnego kodu w instalacjach Windows, ale wymagana jest interakcja użytkownika, a to czyni wszystko mniej okropnym. Ofiara musiałaby odwiedzić złośliwą stronę lub otworzyć złośliwy plik, który umożliwiłby wykonanie złośliwego JScript w systemie.

Błąd jest w standardzie Microsoft ECMAScript

To jest komponent JScript używany w Internet Explorerze. Powoduje to problemy, ponieważ wykonując działania w skrypcie, osoby atakujące mogą spowodować ponowne użycie wskaźnika po zwolnieniu. Błąd został po raz pierwszy wysłany do Redmond w styczniu tego roku. Teraz. Jest ujawniany publicznie bez łaty. ZDI oznacza, że ​​wada ma wynik CVSS 6, 8, co oznacza, że ​​obnosi się ona z umiarkowanym nasileniem.

Według Gorenca łatka będzie dostępna tak szybko, jak to możliwe, ale nie podano dokładnej daty. Nie wiemy więc, czy zostanie uwzględniony w najbliższy wtorek aktualizacji. Jedyną dostępną poradą jest ograniczenie przez użytkowników interakcji z aplikacją do zaufanych plików.