Odborníci na bezpečnost objevili zranitelnost Windows hodnocenou jako středně závažná. To umožňuje vzdáleným útočníkům spouštět libovolný kód a existuje v rámci manipulace s chybovými objekty v JScript. Microsoft zatím nevyvinul opravu chyby. Skupina nulové iniciativy Trend Micro odhalila, že chybu objevil Dmitri Kaslov z Telespace Systems.

Tato chyba zabezpečení není v přírodě zneužita

Podle Briana Gorence, ředitele ZDI, neexistuje náznak, že by zranitelnost byla zneužívána ve volné přírodě. Vysvětlil, že chyba bude pouze součástí úspěšného útoku. Pokračoval a uvedl, že zranitelnost umožňuje provádění kódu v prostředí izolovaném prostoru a útočníci by potřebovali více exploitů, aby unikli z izolovaného prostoru a spustili kód v cílovém systému.

Tato chyba umožňuje vzdáleným útočníkům vykonávat libovolný kód v instalacích Windows, ale je nutná interakce uživatele, a to činí věci méně hroznými. Oběť by musela navštívit škodlivou stránku nebo otevřít škodlivý soubor, který by umožnil spuštění škodlivého JScript v systému.

Závada je ve standardu Microsoft ECMAScript

Toto je komponenta JScript, která se používá v aplikaci Internet Explorer. To způsobuje problémy, protože provedením akcí ve skriptu by útočníci mohli spustit uvolnění ukazatele po jeho uvolnění. Chyba byla poprvé odeslána do Redmondu v lednu tohoto roku. Nyní. Je to odhaleno veřejnosti bez náplasti. Vada je označena CVSS skóre 6, 8, říká ZDI, což znamená, že se vychloubá středně závažně.

Podle Gorenca bude záplata na cestě co nejdříve, ale žádné přesné datum nebylo odhaleno. Takže nevíme, jestli bude zahrnuta do příštího úterního patche. Jedinou dostupnou radou je, aby uživatelé omezili své interakce s aplikací na důvěryhodné soubory.