Turvaeksperdid avastasid Windowsi haavatavuse, mida hinnati keskmise raskusastmega. See võimaldab kaugründajatel käivitada suvalist koodi ja see on JScriptis tõrkeobjektide käsitlemisel. Microsoft ei teinud vea jaoks veel plaastrit. Trend Micro Zero Day Initiative Group selgus et vea avastas Dmitri Kaslov Telespace Systemsist.
Haavatavust looduses ei kasutata
ZDI direktori Brian Gorenci sõnul pole looduses haavatavuse kohta märke. Ta selgitas, et viga saab olema vaid osa edukast rünnakust. Ta jätkas ja ütles, et haavatavus võimaldab koodi käivitada a liivakasti keskkond ja ründajad vajavad liivakastist pääsemiseks ja oma koodi sihtmärgisüsteemis täitmiseks rohkem ekspluateerimisi.
Viga võimaldab kaugründajatel Windowsi installides suvalist koodi käivitada, kuid vaja on kasutaja sekkumist ja see muudab asja vähem kohutavaks. Ohver peaks külastama pahatahtlikku lehte või avama pahatahtliku faili, mis võimaldaks pahatahtlikku JScripti käivitada süsteemis.
Viga on Microsofti ECMAScript standardis
See on JScripti komponent, mida kasutatakse Internet Exploreris. See tekitab probleeme, kuna skriptis toiminguid sooritades võivad ründajad käivitada kursori uuesti kasutamiseks pärast selle vabastamist. Esimest korda saadeti viga Redmondi selle aasta jaanuaris. Nüüd. See avaldatakse avalikkusele ilma plaastrita. Viga on tähistatud CVSS-skooriga 6,8, ütleb ZDI ja see tähendab, et see on mõõduka raskusastmega.
Gorenci sõnul on plaaster esimesel võimalusel teel, kuid täpset kuupäeva pole avaldatud. Nii et me ei tea, kas see lisatakse järgmisse Plaaster teisipäev. Ainus kättesaadav nõuanne on kasutajatel piirata rakendusega suhtlemist usaldusväärsete failidega.
SEOTUD LUGUD KONTROLLIMISEKS:
- Parandage Lenovo sõrmejälgede haavatavus Windows 7, 8 ja 8.1 puhul
- Microsoft ei paranda SMBv1 haavatavust: lülitage teenus välja või minge üle Windows 10-le
- Parandage Windows 10-s COM-i asendusprobleeme
