Odborníci na bezpečnosť objavili zraniteľnosť systému Windows, ktorá bola ohodnotená ako stredne závažná. To umožňuje vzdialeným útočníkom spustiť ľubovoľný kód a existuje v rámci spracovania chybových objektov v JScript. Spoločnosť Microsoft ešte nevypustila opravu chýb. Skupina Zero Day Initiative Group spoločnosti Trend Micro odhalila, že chybu zistil Dmitri Kaslov z Telespace Systems.

Táto zraniteľnosť sa vo voľnej prírode nevyužíva

Podľa Briana Gorenca, riaditeľa ZDI, nejestvuje náznak zraniteľnosti, ktorá sa vo voľnej prírode zneužíva. Vysvetlil, že chyba bude iba súčasťou úspešného útoku. Pokračoval a uviedol, že táto zraniteľnosť umožňuje vykonávanie kódu v prostredí s izolovanými priestormi a útočníci by potrebovali ďalšie zneužitie, aby unikli z karantény a spustili svoj kód v cieľovom systéme.

Táto chyba umožňuje vzdialeným útočníkom spustiť ľubovoľný kód v inštaláciách systému Windows, je však potrebná interakcia používateľa, a preto sú veci menej hrozné. Obeť by musela navštíviť škodlivú stránku alebo otvoriť škodlivý súbor, ktorý by umožnil vykonanie škodlivého JScript v systéme.

Závada je v štandarde Microsoft ECMAScript

Toto je komponenta JScript, ktorá sa používa v prehliadači Internet Explorer. To spôsobuje problémy, pretože vykonaním akcií v skripte by útočníci mohli spustiť ukazovateľ, ktorý sa má po uvoľnení znova použiť. Chyba bola prvýkrát poslaná Redmondovi späť v januári tohto roku. Teraz. Je to odhalené pre verejnosť bez záplaty. Táto chyba je označená CVSS skóre 6, 8, hovorí ZDI, čo znamená, že vychvaľuje miernu závažnosť.

Podľa Gorenca bude záplata na ceste čo najskôr, ale nebol stanovený presný dátum. Takže nevieme, či bude zahrnutý do nasledujúceho utorka Patch. Jedinou dostupnou radou je, aby používatelia obmedzili svoje interakcie s aplikáciou na dôveryhodné súbory.