Sigurnosni stručnjaci otkrili su ranjivost sustava Windows koja je ocijenjena srednje ozbiljnom. To omogućuje udaljenim napadačima izvršavanje proizvoljnog koda i on postoji u rukovanju objektima pogrešaka u JScriptu. Microsoft još nije objavio zakrpu za bug. Inicijativna grupa Zero Day tvrtke Trend Micro otkrio da je manu otkrio Dmitri Kaslov iz Telespace Systems-a.
Ranjivost se ne iskorištava u divljini
Nema naznaka da se ranjivost eksploatira u divljini, prema Brianu Gorencu, direktoru ZDI-a. Objasnio je da će greška biti samo dio uspješnog napada. Nastavio je i rekao da ranjivost omogućuje izvršavanje koda u a okruženje u pijesku a napadačima bi trebalo više iskorištavanja da pobjegnu iz pješčanika i izvrše svoj kod na ciljnom sustavu.
Greška omogućuje udaljenim napadačima izvršavanje proizvoljnog koda na Windows instalacijama, ali potrebna je interakcija korisnika, što stvari čini manje užasnima. Žrtva bi morala posjetiti zlonamjernu stranicu ili otvoriti zlonamjernu datoteku koja bi omogućila izvršenje zlonamjernog JScript-a na sustavu.
Greška je u Microsoftovom ECMAScript standardu
Ovo je JScript komponenta koja se koristi u Internet Exploreru. To uzrokuje probleme jer bi izvršavanjem radnji u skripti napadači mogli pokrenuti ponovnu upotrebu pokazivača nakon što se oslobodi. Bug je prvi put poslan u Redmond još u siječnju ove godine. Sada. Otkriva se javnosti bez zakrpe. Greška je označena s CVSS ocjenom 6,8, kaže ZDI, a to znači da se razmeće umjerenom težinom.
Prema Gorencu, zakrpa će krenuti što je prije moguće, ali točan datum nije otkriven. Dakle, ne znamo hoće li se uključiti u sljedeći Patch utorak. Jedini dostupan savjet je da korisnici ograniče svoju interakciju s aplikacijom na pouzdane datoteke.
POVEZANE PRIČE ZA PROVJERU:
- Otklonite ranjivost Lenovo otiska prsta na sustavima Windows 7, 8 i 8.1
- Microsoft neće ispraviti ranjivost SMBv1: isključite uslugu ili nadogradite na Windows 10
- Rješavanje problema s COM Surrogateom u sustavu Windows 10
