Pētnieki atrada vēl vienu nenovērstu Windows kļūdu

nenosaka Windows ievainojamības

Drošības eksperti atklāja Windows ievainojamību, kas novērtēta kā vidēja smaguma pakāpe. Tas ļauj attāliem uzbrucējiem izpildīt patvaļīgu kodu, un tas pastāv kļūdu objektu apstrādē JScript. Microsoft vēl nav ieviesis kļūdas plāksteri. Trend Micro Zero Day iniciatīvas grupa atklāts ka trūkumu atklāja Dmitrijs Kaslovs no Telespace Systems.

Ievainojamību savvaļā neizmanto

Saskaņā ar ZDI direktora Braiena Gorenca teikto nekas neliecina par ievainojamības izmantošanu savvaļā. Viņš paskaidroja, ka kļūda būs tikai daļa no veiksmīga uzbrukuma. Viņš turpināja un teica, ka ievainojamība ļauj kodu izpildīt a smilškastes vide un uzbrucējiem būtu nepieciešams vairāk izmantošanas iespēju, lai izvairītos no smilšu kastes un izpildītu savu kodu mērķa sistēmā.

Kļūda ļauj attāliem uzbrucējiem izpildīt patvaļīgu kodu Windows instalācijās, taču ir nepieciešama lietotāja mijiedarbība, un tas padara lietas mazāk briesmīgas. Upurim būtu jāapmeklē ļaunprātīga lapa vai jāatver ļaunprātīgs fails, kas ļautu sistēmā izpildīt ļaunprātīgo JScript.

Kļūda ir Microsoft ECMAScript standartā

Šis ir JScript komponents, kas tiek izmantots pārlūkprogrammā Internet Explorer. Tas rada problēmas, jo, veicot darbības skriptā, uzbrucēji var izraisīt rādītāja atkārtotu izmantošanu pēc tam, kad tas ir atbrīvots. Pirmo reizi kļūda tika nosūtīta uz Redmondu šī gada janvārī. Tagad. Tas tiek atklāts sabiedrībai bez plākstera. Trūkums ir apzīmēts ar CVSS punktu skaitu 6,8, saka ZDI, un tas nozīmē, ka tas ir mērena smaguma pakāpe.

Pēc Gorenc teiktā, plāksteris būs ceļā pēc iespējas ātrāk, taču precīzs datums nav atklāts. Tātad, mēs nezinām, vai tas tiks iekļauts nākamajā Plāksteris otrdien. Vienīgais pieejamais padoms lietotājiem ir ierobežot mijiedarbību ar lietojumprogrammu tikai uz uzticamiem failiem.

SAISTĪTIE STĀSTI, KO PĀRBAUDĪT:

  • Novērst Lenovo pirkstu nospiedumu ievainojamību operētājsistēmās Windows 7, 8 un 8.1
  • Microsoft nenovērsīs SMBv1 ievainojamību: izslēdziet pakalpojumu vai jauniniet uz Windows 10
  • Novērst problēmas ar COM aizstājēju operētājsistēmā Windows 10
Pārbaudes uzbrukums atklāj Intel SGX drošības ievainojamību

Pārbaudes uzbrukums atklāj Intel SGX drošības ievainojamībuIntelKiberdrošība

Nesen publicētais koncepcijas pierādījums atklāj Intel SGX vai Software Guard paplašinājumu drošības vājās vietas.Pētnieki veiksmīgi pārkāpa SGX anklāvus un piekļuva konfidenciāliem datiem.Pārbaudi...

Lasīt vairāk
Vai VPN var sajaukt tālruni? Vai VPN ir droši telefonos?

Vai VPN var sajaukt tālruni? Vai VPN ir droši telefonos?Krāpšanās Pa TālruniVpnKiberdrošība

Liela daļa nepareizu priekšstatu par VPN lietošanu netraucēti tiek izplatīti plašajos interneta kanālos, piemēram, vai VPN var sajaukt tālruni. Patiesība ir tāda, ka VPN viens pats nevar sabojāt tā...

Lasīt vairāk
6 labākie VPN FIFA 2021, lai samazinātu spēles nobīdi

6 labākie VPN FIFA 2021, lai samazinātu spēles nobīdiKiberdrošībaFifa 21

EA spēļu izstrādātā FIFA ir vispopulārākā futbola video spēle pasaulē.Neskatoties uz to, jautājumi atrod veidu, kā sajaukt savu spēli. Ja jūs satrauc savienojuma problēmas, iesakām izvēlēties FIFA ...

Lasīt vairāk