ผู้เชี่ยวชาญด้านความปลอดภัยค้นพบช่องโหว่ของ Windows ที่มีระดับความรุนแรงปานกลาง ซึ่งช่วยให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดโดยอำเภอใจ และมีอยู่ในการจัดการวัตถุข้อผิดพลาดใน JScript Microsoft ยังไม่ได้เปิดตัวโปรแกรมแก้ไขสำหรับจุดบกพร่อง Zero Day Initiative Group ของ Trend Micro เปิดเผย ว่าข้อบกพร่องถูกค้นพบโดย Dmitri Kaslov แห่ง Telespace Systems
ช่องโหว่ไม่ถูกนำไปใช้ในป่า exploit
Brian Gorenc ผู้อำนวยการของ ZDI กล่าวว่าไม่มีข้อบ่งชี้ว่ามีช่องโหว่ที่ถูกโจมตีในป่า เขาอธิบายว่าบั๊กนี้เป็นเพียงส่วนหนึ่งของการโจมตีที่ประสบความสำเร็จเท่านั้น เขากล่าวต่อว่าช่องโหว่ดังกล่าวทำให้สามารถเรียกใช้โค้ดในa สภาพแวดล้อมแบบแซนด์บ็อกซ์ และผู้โจมตีต้องการช่องโหว่เพิ่มเติมเพื่อหนีออกจากแซนด์บ็อกซ์และรันโค้ดบนระบบเป้าหมาย
ข้อบกพร่องนี้ทำให้ผู้โจมตีจากระยะไกลสามารถรันโค้ดโดยอำเภอใจในการติดตั้ง Windows แต่จำเป็นต้องมีการโต้ตอบกับผู้ใช้ และทำให้สิ่งต่างๆ น่ากลัวน้อยลง เหยื่อจะต้องไปที่หน้าที่เป็นอันตรายหรือเปิดไฟล์ที่เป็นอันตรายซึ่งจะทำให้การดำเนินการของ JScript ที่เป็นอันตรายบนระบบ
ความผิดพลาดอยู่ในมาตรฐาน ECMAScript ของ Microsoft
นี่คือองค์ประกอบ JScript ที่ใช้ใน Internet Explorer สิ่งนี้ทำให้เกิดปัญหาเนื่องจากการดำเนินการในสคริปต์ ผู้โจมตีสามารถเรียกตัวชี้ให้นำกลับมาใช้ใหม่ได้หลังจากปล่อยว่างแล้ว ข้อผิดพลาดนี้ถูกส่งไปยัง Redmond ครั้งแรกในเดือนมกราคมปีนี้ ตอนนี้. กำลังถูกเปิดเผยต่อสาธารณะโดยไม่มีโปรแกรมแก้ไข ข้อบกพร่องดังกล่าวมีคะแนน CVSS อยู่ที่ 6.8 ZDI กล่าว และนี่หมายความว่ามีความรุนแรงปานกลาง
ตามรายงานของ Gorenc แพทช์กำลังจะมาโดยเร็วที่สุด แต่ยังไม่มีการเปิดเผยวันที่แน่นอน เลยไม่รู้ว่าตอนต่อไปจะเข้ามั้ย แพทช์วันอังคาร. คำแนะนำเดียวที่มีคือสำหรับผู้ใช้ในการจำกัดการโต้ตอบกับแอปพลิเคชันไปยังไฟล์ที่เชื่อถือได้
เรื่องราวที่เกี่ยวข้องเพื่อตรวจสอบ:
- แก้ไขช่องโหว่ลายนิ้วมือของ Lenovo ใน Windows 7, 8 และ 8.1
- Microsoft จะไม่แก้ไขช่องโหว่ SMBv1: ปิดบริการหรืออัปเกรดเป็น Windows 10
- แก้ไขปัญหาเกี่ยวกับ COM Surrogate บน Windows 10
