Bezpečnostní experti objavili zraniteľnosť systému Windows, ktorá bola hodnotená ako stredne závažná. To umožňuje vzdialeným útočníkom spustiť ľubovoľný kód a ten existuje pri spracovaní chybových objektov v JScript. Spoločnosť Microsoft zatiaľ nevydala opravu tejto chyby. Zero Day Initiative Group spoločnosti Trend Micro odhalené že chybu objavil Dmitri Kaslov z Telespace Systems.
Zraniteľnosť sa vo voľnej prírode nevyužíva
Podľa riaditeľa ZDI Briana Gorenca nič nenasvedčuje tomu, že by sa zraniteľnosť vo voľnej prírode využívala. Vysvetlil, že ploštica bude iba súčasťou úspešného útoku. Pokračoval a uviedol, že zraniteľnosť umožňuje vykonávanie kódu v a karanténne prostredie a útočníci by potrebovali viac útokov, aby unikli z pieskoviska a vykonali svoj kód v cieľovom systéme.
Táto chyba umožňuje vzdialeným útočníkom spustiť ľubovoľný kód v inštaláciách systému Windows, vyžaduje sa však interakcia používateľa, čo robí veci menej hroznými. Obeť by musela navštíviť škodlivú stránku alebo otvoriť škodlivý súbor, ktorý by umožnil spustenie škodlivého JScript v systéme.
Závada je v štandarde ECMAScript spoločnosti Microsoft
Toto je komponent JScript, ktorý sa používa v prehliadači Internet Explorer. To spôsobuje problémy, pretože vykonaním akcií v skripte môžu útočníci spustiť opätovné použitie ukazovateľa po jeho uvoľnení. Chyba bola prvýkrát odoslaná do Redmondu ešte v januári tohto roku. Teraz. Odhaľuje sa to verejnosti bez opravy. Chyba je označená skóre CVSS 6,8, hovorí ZDI, čo znamená, že sa chváli miernou závažnosťou.
Podľa Gorenca bude náplasť na ceste čo najskôr, presný dátum však nebol zverejnený. Takže nevieme, či bude zahrnutý v ďalšom Patch utorok. Jedinou dostupnou radou je, aby používatelia obmedzili svoje interakcie s aplikáciou na dôveryhodné súbory.
SÚVISIACE PRÍBEHY KONTROLY:
- Oprava zraniteľnosti odtlačkov prstov Lenovo vo Windows 7, 8 a 8.1
- Spoločnosť Microsoft neopraví chybu zabezpečenia SMBv1: vypnite službu alebo inovujte na Windows 10
- Opraviť problémy s COM Surrogate vo Windows 10
