Sikkerhetseksperter oppdaget et Windows-sårbarhet vurdert som middels alvorlighetsgrad. Dette gjør at eksterne angripere kan utføre vilkårlig kode, og den eksisterer innen håndtering av feilobjekter i JScript. Microsoft lanserte ikke en oppdatering for feilen ennå. Trend Micros Zero Day Initiative Group avslørt at feilen ble oppdaget av Dmitri Kaslov fra Telespace Systems.
Sårbarheten utnyttes ikke i naturen
Det er ingen indikasjoner på at sårbarheten blir utnyttet i naturen, ifølge Brian Gorenc, direktør for ZDI. Han forklarte at feilen bare ville være en del av et vellykket angrep. Han fortsatte og sa at sårbarheten tillater kjøring av kode i en sandkassemiljø og angripere trenger mer utnyttelse for å unnslippe sandkassen og utføre koden sin på et målsystem.
Feilen tillater fjernangripere å utføre vilkårlig kode på Windows-installasjoner, men brukerinteraksjon er nødvendig, og dette gjør ting mindre forferdelig. Offeret måtte besøke en ondsinnet side eller åpne en ondsinnet fil som tillater kjøring av den ondsinnede JScript på systemet.
Feilen er i Microsofts ECMAScript-standard
Dette er JScript-komponenten som brukes i Internet Explorer. Dette gir problemer fordi angripere kan utløse handlinger i skriptet som kan utløse en peker som kan brukes på nytt etter at den er frigjort. Feilen ble først sendt til Redmond tilbake i januar i år. Nå. Det blir avslørt for publikum uten en lapp. Feilen er merket med en CVSS-score på 6,8, sier ZDI, og dette betyr at den flagrer med en moderat alvorlighetsgrad.
Ifølge Gorenc vil en lapp være på vei så snart som mulig, men ingen nøyaktig dato er avslørt. Så vi vet ikke om det blir inkludert i det neste Patch tirsdag. Det eneste rådet er at brukerne begrenser interaksjonen med applikasjonen til pålitelige filer.
RELATERTE STORIER FOR Å KONTROLLERE:
- Løs Lenovos fingeravtrykkssårbarhet på Windows 7, 8 og 8.1
- Microsoft oppdaterer ikke SMBv1-sårbarheten: Slå av tjenesten eller oppgrader til Windows 10
- Løs problemer med COM Surrogate på Windows 10
