Sigurnosni stručnjaci otkrili su ranjivost Windowsa ocijenjenu kao srednje ozbiljne. To omogućuje udaljenim napadačima izvršavanje proizvoljnog koda i on postoji u rukovanju objektima s pogreškama u JScript-u. Microsoft još nije otkrio zakrpu zbog pogreške. Trend Micro-ova Zero Day Initiative Group otkrila je da je kvar otkrio Dmitri Kaslov iz Telespace Systems.

Ranjivost se ne iskorištava u divljini

Prema Brianu Gorencu, direktoru ZDI-a, nema naznaka da se ranjivost iskorištava u divljini. Objasnio je da će buba biti samo dio uspješnog napada. On je nastavio i rekao da ranjivost omogućuje izvršavanje koda u okruženju s pijeskom i napadačima će trebati više eksplozija da bi pobjegli iz sandžaka i izvršili svoj kod na ciljnom sustavu.

Propust omogućuje udaljenim napadačima izvršavanje proizvoljnog koda na Windows instalacijama, ali potrebna je interakcija korisnika, a to čini stvari manje groznima. Žrtva bi trebala posjetiti zlonamjernu stranicu ili otvoriti zlonamjernu datoteku koja bi omogućila izvršavanje zlonamjernog JScript-a u sustavu.

Kvar je u Microsoftovom ECMAScript standardu

Ovo je JScript komponenta koja se koristi u programu Internet Explorer. To uzrokuje probleme jer izvođenjem radnji u skripti napadači mogu pokrenuti pokazivač da se ponovo koristi nakon što se oslobodi. Buba je prvi puta poslana u Redmond u siječnju ove godine. Sada. To je otkriveno javnosti bez flastera. Propust je označen sa CVSS ocjenom 6, 8, kaže ZDI i to znači da se ponaša umjereno ozbiljno.

Prema Gorencu, zakrpa će stići što je prije moguće, ali točan datum nije otkriven. Dakle, ne znamo hoće li to biti uključeno u sljedeći Patch utorak. Jedini dostupni savjet je da korisnici ograniče svoju interakciju s aplikacijom na pouzdane datoteke.