Strokovnjaki za varnost so odkrili ranljivost sistema Windows, ocenjeno kot srednje resno. To omogoča oddaljenim napadalcem, da izvajajo poljubno kodo in obstaja v obdelavi predmetov napak v JScriptu. Microsoft še ni izdal popravka za napako. Iniciativna skupina Trend Micro Zero Day razkril da je napako odkril Dmitri Kaslov iz Telespace Systems.
Ranljivost se v divjini ne izkorišča
Po besedah Briana Gorenca, direktorja ZDI, ni nobenih znakov o izkoriščanju ranljivosti v naravi. Pojasnil je, da bi bila napaka le del uspešnega napada. Nadaljeval je in dejal, da ranljivost omogoča izvajanje kode v okolju v pesku in napadalci bi potrebovali več podvigov, da bi ušli iz peskovnika in izvedli svojo kodo v ciljnem sistemu.
Napaka oddaljenim napadalcem omogoča izvajanje poljubne kode v namestitvah sistema Windows, vendar je potrebna interakcija uporabnika, zaradi česar so stvari manj grozljive. Žrtev bi morala obiskati zlonamerno stran ali odpreti zlonamerno datoteko, ki bi omogočila izvajanje zlonamernega Jcripta v sistemu.
Napaka je v Microsoftovem standardu ECMAScript
To je komponenta JScript, ki se uporablja v Internet Explorerju. To povzroča težave, ker lahko napadalci z izvajanjem dejanj v skriptu sprožijo kazalec, ki ga je treba ponovno uporabiti, ko je sproščen. Napaka je bila prvič poslana v Redmond januarja letos. Zdaj. Javnosti je razkrita brez popravka. Pomanjkljivost je označena z oceno CVSS 6,8, pravi ZDI, kar pomeni, da se ponaša z zmerno resnostjo.
Po Gorenčevih besedah bo obliž na poti čim prej, vendar natančen datum ni razkrit. Torej, ne vemo, ali bo vključena v naslednjo Patch torek. Edini razpoložljivi nasvet je, da uporabniki omejijo interakcijo z aplikacijo na zaupanja vredne datoteke.
POVEZANE ZGODBE ZA OGLAŠEVANJE:
- Odpravite ranljivost prstnih odtisov Lenovo v sistemih Windows 7, 8 in 8.1
- Microsoft ne bo odpravil ranljivosti SMBv1: izklopite storitev ali nadgradite na Windows 10
- Odpravljanje težav s COM Surrogate v sistemu Windows 10
