Gli esperti di sicurezza hanno scoperto una vulnerabilità di Windows classificata come di media gravità. Ciò consente agli aggressori remoti di eseguire codice arbitrario ed esiste all'interno della gestione degli oggetti di errore in JScript. Microsoft non ha ancora implementato una patch per il bug. Il gruppo Zero Day Initiative di Trend Micro ha rivelato che il difetto è stato scoperto da Dmitri Kaslov di Telespace Systems.

La vulnerabilità non viene sfruttata in natura

Non c'è alcuna indicazione della vulnerabilità sfruttata in natura, secondo Brian Gorenc, direttore di ZDI. Ha spiegato che il bug sarebbe solo parte di un attacco riuscito. Ha continuato e ha affermato che la vulnerabilità consente l'esecuzione di codice in un ambiente sandbox e che gli aggressori avrebbero bisogno di più exploit per sfuggire al sandbox ed eseguire il loro codice su un sistema di destinazione.

Il difetto consente agli aggressori remoti di eseguire codice arbitrario su installazioni di Windows, ma è necessaria l'interazione dell'utente e ciò rende le cose meno orribili. La vittima dovrebbe visitare una pagina dannosa o aprire un file dannoso che consentirebbe l'esecuzione del JScript dannoso sul sistema.

Il problema è nello standard ECMAScript di Microsoft

Questo è il componente JScript utilizzato in Internet Explorer. Ciò causa problemi perché eseguendo azioni nello script, gli aggressori potrebbero attivare il riutilizzo di un puntatore dopo che è stato liberato. Il bug è stato inviato per la prima volta a Redmond nel gennaio di quest'anno. Adesso. Viene rivelato al pubblico senza patch. Il difetto è etichettato con un punteggio CVSS di 6, 8, dice ZDI e questo significa che ostenta una gravità moderata.

Secondo Gorenc, una patch arriverà il prima possibile, ma non è stata rivelata una data esatta. Quindi, non sappiamo se verrà incluso nella prossima Patch di martedì. L'unico consiglio disponibile è che gli utenti limitino le loro interazioni con l'applicazione a file attendibili.