Drošības eksperti atklāja Windows ievainojamību, kas novērtēta kā vidēja smaguma pakāpe. Tas ļauj attāliem uzbrucējiem izpildīt patvaļīgu kodu, un tas pastāv, apstrādājot kļūdu objektus JScript. Microsoft vēl neizlaida kļūdas labojumu. Trend Micro iniciatīvas grupa Nulles diena atklāja, ka trūkumu atklāja Dmitrijs Kaslovs no Telespace Systems.

Ievainojamība netiek izmantota savvaļā

Saskaņā ar ZDI direktora Braiena Gorenca teikto, nekas neliecina par to, ka neaizsargātība tiek izmantota savvaļā. Viņš paskaidroja, ka kļūda būs tikai daļa no veiksmīga uzbrukuma. Viņš turpināja un sacīja, ka šī ievainojamība ļauj izpildīt kodu smilšu kastes vidē, un uzbrucējiem būs vajadzīgi vairāk ekspluatācijas, lai aizbēgtu no smilšu kastes un izpildītu savu kodu mērķa sistēmā.

Trūkums ļauj attāliem uzbrucējiem izpildīt patvaļīgu kodu operētājsistēmas Windows instalācijās, taču ir nepieciešama lietotāja mijiedarbība, un tas padara situāciju mazāk briesmīgu. Upurim būs jāapmeklē ļaunprātīga lapa vai jāatver ļaunprātīgs fails, kas ļaus sistēmā izpildīt ļaunprātīgo JScript.

Nepilnības ir Microsoft ECMAScript standartā

Šis ir JScript komponents, kas tiek izmantots Internet Explorer. Tas rada problēmas, jo, veicot darbības skriptā, uzbrucēji var izraisīt rādītāja atkārtotu izmantošanu pēc tā atbrīvošanas. Kļūda Redmondam tika nosūtīta atpakaļ šī gada janvārī. Tagad. Tas tiek atklāts sabiedrībai bez plākstera. Saskaņā ar ZDI trūkumu apzīmē ar CVSS punktu skaitu 6, 8, un tas nozīmē, ka tas ir mēreni nopietns.

Pēc Gorenca teiktā, plāksteris tiks veikts pēc iespējas ātrāk, taču precīzs datums nav atklāts. Tātad, mēs nezinām, vai tas tiks iekļauts nākamajā otrdienas ielāpā. Vienīgais pieejamais padoms ir lietotājiem ierobežot mijiedarbību ar lietojumprogrammu ar uzticamiem failiem.