מומחי אבטחה גילו פגיעות של Windows המדורגת כחומרה בינונית. זה מאפשר לתוקפים מרוחקים לבצע קוד שרירותי והוא קיים במסגרת הטיפול באובייקטים של שגיאות ב- JScript. מיקרוסופט טרם הוציאה תיקון עבור הבאג. קבוצת יוזמות ה- Zero Day של Trend Micro חשפה כי הפגם התגלה על ידי דמיטרי קסלוב מ- Telespace Systems.

הפגיעות אינה מנוצלת בטבע

אין שום אינדיקציה לפגיעות המנוצלת בטבע, לדברי בריאן גורנק, מנהל ZDI. הוא הסביר שהבאג יהיה רק ​​חלק מהתקפה מוצלחת. הוא המשיך ואמר כי הפגיעות מאפשרת ביצוע קוד בסביבת ארגז חול והתוקפים יזדקקו לניצולים נוספים כדי לברוח מארגז החול ולהוציא לפועל את קודם במערכת יעד.

הפגם מאפשר לתוקפים מרוחקים לבצע קוד שרירותי בהתקנות חלונות אך יש צורך באינטראקציה של משתמשים, וזה גורם לדברים להחריד פחות. הקורבן יצטרך לבקר בדף זדוני או לפתוח קובץ זדוני שיאפשר ביצוע JScript זדוני במערכת.

התקלה היא בתקן ECMAScript של מיקרוסופט

זהו רכיב JScript המשמש ב- Internet Explorer. זה גורם לבעיות מכיוון שביצוע פעולות בתסריט, התוקפים עלולים לעורר שימוש חוזר במצביע לאחר שחרורו. החיידק נשלח לראשונה לרדמונד בינואר השנה. עכשיו. זה נחשף לציבור ללא תיקון. הפגם מתויג עם ציון CVSS של 6.8, אומר ZDI, ומשמעות הדבר היא מתהפכת בחומרה בינונית.

לדברי גורנק, תיקון יהיה בדרך בהקדם האפשרי, אך לא נחשף תאריך מדויק. אז אנחנו לא יודעים אם זה ייכלל ביום שלישי הבא. העצה היחידה הזמינה היא למשתמשים להגביל את האינטראקציות שלהם עם היישום לקבצים מהימנים.