Sikkerhedseksperter opdagede en Windows-sårbarhed, der er klassificeret som en medium sværhedsgrad. Dette gør det muligt for fjernangrebere at udføre vilkårlig kode, og den findes inden for håndtering af fejlobjekter i JScript. Microsoft rulle ikke ud en patch til fejlen endnu. Trend Micro's Zero Day Initiative Group afslørede, at fejlen blev opdaget af Dmitri Kaslov fra Telespace Systems.

Sårbarheden udnyttes ikke i naturen

Der er ingen indikation af, at sårbarheden udnyttes i naturen, ifølge Brian Gorenc, ZDI's direktør. Han forklarede, at fejlen kun ville være en del af et vellykket angreb. Han fortsatte og sagde, at sårbarheden tillader udførelse af kode i et sandkasseret miljø, og angribere ville have brug for flere udnyttelse for at undslippe sandkassen og udføre deres kode på et målsystem.

Fejlen tillader fjernangribere at udføre vilkårlig kode på Windows-installationer, men brugerinteraktion er påkrævet, og dette gør tingene mindre forfærdeligt. Offeret bliver nødt til at besøge en ondsindet side eller åbne en ondsindet fil, der tillader udførelse af det ondsindede JScript på systemet.

Fejlfinding er i Microsofts ECMAScript-standard

Dette er JScript-komponenten, der bruges i Internet Explorer. Dette medfører problemer, fordi angribere ved at udføre handlinger i scriptet kan udløse en markør, der skal genbruges, efter at den er blevet frigivet. Fejlen blev først sendt til Redmond tilbage i januar i år. Nu. Det bliver afsløret for offentligheden uden en patch. Fejlen er mærket med en CVSS-score på 6, 8, siger ZDI, og det betyder, at den flaunts en moderat sværhedsgrad.

Ifølge Gorenc vil en patch være på vej så hurtigt som muligt, men der er ikke afsløret nogen nøjagtig dato. Så vi ved ikke, om det vil blive inkluderet i den næste patch tirsdag. Det eneste tilgængelige råd er for brugerne at begrænse deres interaktion med applikationen til betroede filer.