Експерти з безпеки виявили вразливість Windows, оцінену як середню ступінь тяжкості. Це дозволяє віддаленим зловмисникам виконувати довільний код і він існує в обробці об'єктів помилок у JScript. Microsoft ще не розгорнула виправлення помилки. Ініціативна група Zero Day Trend Micro виявила, що ваду виявив Дмитро Каслов із Telespace Systems.

Уразливість не використовується в дикій природі

За словами Брайана Горенка, директора ZDI, немає вказівок на те, що вразливість використовується в природі. Він пояснив, що помилка буде лише частиною успішної атаки. Він продовжив і сказав, що вразливість дозволяє виконувати код у середовищі з піском, а зловмисникам знадобиться більше подвигів, щоб уникнути пісочниці та виконати їх код у цільовій системі.

Недолік дозволяє віддаленим зловмисникам виконувати довільний код під час встановлення Windows, але взаємодія з користувачем необхідна, і це робить речі менш жахливими. Потерпілому доведеться зайти на шкідливу сторінку або відкрити шкідливий файл, який дозволить виконувати шкідливий JScript у системі.

Проблеми в стандарті Microsoft ECMAScript

Це компонент JScript, який використовується в Internet Explorer. Це викликає проблеми, оскільки виконуючи дії в сценарії, зловмисники можуть викликати повторне використання вказівника після його звільнення. Клоп вперше був відправлений до Редмонда ще в січні цього року. Тепер. Це відкривається для публіки без накладних. Про недолік позначений показник CVSS 6, 8, говорить ZDI, і це означає, що він виставляє на помірну ступінь тяжкості.

За словами Gorenc, патч буде на шляху якнайшвидше, але точної дати не виявлено. Отже, ми не знаємо, чи буде він включений у наступний патч-вівторок. Єдина доступна порада - користувачі обмежують свою взаємодію із програмою на надійні файли.