Turvallisuusasiantuntijat havaitsivat Windowsin haavoittuvuuden, jonka luokitellaan olevan keskipitkä. Tämän avulla etähyökkääjät voivat suorittaa mielivaltaisen koodin, ja se on olemassa JScript-virhekohteiden käsittelyssä. Microsoft ei vielä kehittänyt korjaustiedostoa virheelle. Trend Micro -yrityksen Zero Day -aloiteryhmä paljasti, että virheen havaitsi Dmitri Kaslov Telespace Systemsistä.

Haavoittuvuutta ei hyödynnetä luonnossa

ZDI: n johtajan Brian Gorencin mukaan mikään ei viittaa haavoittuvuuden hyödyntämiseen luonnossa. Hän selitti, että vika olisi vain osa onnistunutta hyökkäystä. Hän jatkoi ja kertoi, että haavoittuvuus sallii koodin suorittamisen hiekkalaatikkoympäristössä ja hyökkääjät tarvitsisivat enemmän hyökkäyksiä hiekkalaatikosta pääsemiseksi ja koodinsa suorittamiseksi kohdejärjestelmässä.

Vika antaa etähyökkääjien suorittaa mielivaltaisen koodin Windows-asennuksissa, mutta käyttäjän vuorovaikutus vaaditaan, ja tämä tekee asioista vähemmän kauheita. Uhrin tulisi käydä haitallisella sivulla tai avata haittaohjelma, joka mahdollistaisi vahingollisen Jcriptin suorittamisen järjestelmässä.

Häiriö on Microsoftin ECMAScript-standardissa

Tätä JScript-komponenttia käytetään Internet Explorerissa. Tämä aiheuttaa ongelmia, koska suorittamalla komentosarjan toimintoja hyökkääjät voivat laukaista osoittimen uudelleen käytettäväksi sen vapauttamisen jälkeen. Vika lähetettiin Redmondille ensimmäisen kerran tämän vuoden tammikuussa. Nyt. Se paljastetaan yleisölle ilman laastaria. Vika on merkitty CVSS-pisteet 6, 8, sanoo ZDI ja tämä tarkoittaa, että se flaunes kohtalainen vakavuus.

Gorencin mukaan laastari on matkalla mahdollisimman pian, mutta tarkkaa päivämäärää ei ole paljastettu. Joten, emme tiedä, sisällytetäänkö se seuraavaan tiistaina Patch. Ainoa saatavissa oleva ohje on, että käyttäjät voivat rajoittaa vuorovaikutuksensa sovelluksen kanssa luotettaviin tiedostoihin.