מומחי אבטחה גילו פגיעות של Windows המדורגת כחומרה בינונית. זה מאפשר לתוקפים מרוחקים לבצע קוד שרירותי והוא קיים בטיפול באובייקטים של שגיאה ב- JScript. מיקרוסופט עדיין לא פרסמה תיקון עבור הבאג. קבוצת יוזמת ה- Zero Day של טרנד מיקרו גילה שהפגם התגלה על ידי דמיטרי קסלוב ממערכות טלספייס.
הפגיעות אינה מנוצלת בטבע
אין שום אינדיקציה לפגיעות המנוצלת בטבע, על פי בריאן גורנץ, מנהל ZDI. הוא הסביר כי הבאג יהיה רק חלק מהתקפה מוצלחת. הוא המשיך ואמר כי הפגיעות מאפשרת ביצוע קוד בא סביבת ארגז חול ותוקפים יזדקקו למעללים נוספים כדי להימלט מארגז החול ולבצע את הקוד שלהם במערכת יעד.
הפגם מאפשר לתוקפים מרוחקים לבצע קוד שרירותי בהתקנות של Windows, אך נדרשת אינטראקציה של המשתמש, וזה הופך את הדברים לפחות נוראיים. הקורבן יצטרך לבקר בדף זדוני או לפתוח קובץ זדוני שיאפשר את ביצוע ה- JScript הזדוני במערכת.
התקלה היא בתקן ECMAScript של מיקרוסופט
זהו רכיב JScript המשמש ב- Internet Explorer. זה גורם לבעיות מכיוון שביצוע פעולות בסקריפט, התוקפים עלולים לגרום להפעלת מצביע לאחר שחרורו. הבאג נשלח לראשונה לרדמונד כבר בינואר השנה. עַכשָׁיו. זה מתגלה לציבור ללא תיקון. הפגם מסומן בציון CVSS של 6.8, אומר ZDI וזה אומר שהוא מתהדר בחומרה בינונית.
לדברי גורנק, תיקון יהיה בדרך בהקדם האפשרי, אך לא נחשף תאריך מדויק. אז, אנחנו לא יודעים אם זה ייכלל בהמשך תיקון יום שלישי. העצה היחידה הזמינה היא למשתמשים להגביל את האינטראקציה שלהם עם היישום לקבצים מהימנים.
סיפורים קשורים לבדיקה:
- תקן את הפגיעות של טביעות האצבע של Lenovo ב- Windows 7, 8 ו- 8.1
- מיקרוסופט לא תתקן את הפגיעות של SMBv1: כבה את השירות או תשדרג ל- Windows 10
- תקן בעיות ב- COM Surrogate ב- Windows 10
