Sikkerhetseksperter oppdaget et Windows-sikkerhetsproblem som er vurdert til en middels alvorlighetsgrad. Dette lar eksterne angripere utføre vilkårlig kode, og den eksisterer innen håndtering av feilobjekter i JScript. Microsoft ruller ikke ut en oppdatering for feilen ennå. Trend Micros Zero Day Initiative Group avslørte at feilen ble oppdaget av Dmitri Kaslov fra Telespace Systems.

Sårbarheten utnyttes ikke i naturen

Det er ingen indikasjoner på at sårbarheten blir utnyttet i naturen, ifølge Brian Gorenc, ZDIs direktør. Han forklarte at feilen bare ville være en del av et vellykket angrep. Han fortsatte og sa at sårbarheten tillater kjøring av kode i et sandkasset miljø og angriperne vil trenge flere utnyttelser for å unnslippe sandkassen og utføre koden på et målsystem.

Feilen gjør at eksterne angripere kan utføre vilkårlig kode på Windows-installasjoner, men brukerinteraksjon er påkrevd, og dette gjør ting mindre forferdelig. Offeret må besøke en ondsinnet side eller åpne en ondsinnet fil som tillater utførelse av den ondsinnede JScript på systemet.

Feilen er i Microsofts ECMAScript-standard

Dette er JScript-komponenten som brukes i Internet Explorer. Dette forårsaker problemer fordi angripere ved å utføre handlinger i manuset kan utløse en peker til å bli brukt på nytt etter at den er frigjort. Feilen ble først sendt til Redmond tilbake i januar i år. Nå. Det blir avslørt for publikum uten noen lapp. Feilen er merket med en CVSS-score på 6, 8, sier ZDI, og dette betyr at den flaunts en moderat alvorlighetsgrad.

Ifølge Gorenc vil en lapp være på vei så snart som mulig, men ingen eksakt dato er blitt avslørt. Så vi vet ikke om det vil bli inkludert i neste lapp tirsdag. Det eneste tilgjengelige rådet er for brukere å begrense interaksjonen deres med applikasjonen til pålitelige filer.