Bezpečnostní experti objevili chybu zabezpečení systému Windows, která byla hodnocena jako středně závažná. To umožňuje vzdáleným útočníkům spouštět libovolný kód a ten existuje při zpracování chybových objektů v JScript. Společnost Microsoft zatím nevydala opravu chyby. Zero Day Initiative Group společnosti Trend Micro odhaleno že tuto chybu objevil Dmitri Kaslov z Telespace Systems.
Zranitelnost není ve volné přírodě využívána
Podle ředitele ZDI Briana Gorenca nic nenasvědčuje tomu, že by zranitelnost byla využívána ve volné přírodě. Vysvětlil, že chyba bude jen součástí úspěšného útoku. Pokračoval a uvedl, že chyba zabezpečení umožňuje spuštění kódu v a karanténní prostředí a útočníci by potřebovali více exploitů, aby unikli z karantény a provedli svůj kód v cílovém systému.
Tato chyba umožňuje vzdáleným útočníkům spouštět libovolný kód v instalacích systému Windows, ale je nutná interakce uživatele, což dělá věci méně příšernými. Oběť by musela navštívit škodlivou stránku nebo otevřít škodlivý soubor, který by umožnil spuštění škodlivého JScript v systému.
Závada je ve standardu ECMAScript společnosti Microsoft
Toto je komponenta JScript, která se používá v aplikaci Internet Explorer. To způsobuje problémy, protože provedením akcí ve skriptu by útočníci mohli po uvolnění aktivovat opětovné použití ukazatele. Chyba byla poprvé odeslána do Redmondu v lednu tohoto roku. Nyní. Je odhalen veřejnosti bez opravy. Chyba je označena skóre CVSS 6,8, říká ZDI, což znamená, že se chlubí mírnou závažností.
Podle Gorenca bude oprava na cestě co nejdříve, ale přesné datum nebylo zveřejněno. Takže nevíme, jestli bude zahrnut v příštím Patch Tuesday. Jedinou dostupnou radou je, aby uživatelé omezili své interakce s aplikací na důvěryhodné soubory.
SOUVISEJÍCÍ PŘÍBĚHY K ODHLÁŠENÍ:
- Oprava chyby zabezpečení otisků prstů Lenovo ve Windows 7, 8 a 8.1
- Microsoft neopraví chybu zabezpečení SMBv1: vypněte službu nebo upgradujte na Windows 10
- Opravte problémy s COM Surrogate ve Windows 10
