Эксперты по безопасности обнаружили уязвимость Windows, оцененную как средняя. Это позволяет удалённым злоумышленникам выполнять произвольный код, и он существует в обработке объектов ошибок в JScript. Microsoft еще не выпустила патч для этой ошибки. Инициативная группа Trend Micro «Zero Day» показала, что этот недостаток был обнаружен Дмитрием Касловым из Telespace Systems.

Уязвимость не используется в дикой природе

По словам Брайана Горенка, директора ZDI, нет никаких признаков того, что уязвимость используется в дикой природе. Он объяснил, что ошибка будет только частью успешной атаки. Он продолжил и сказал, что уязвимость позволяет выполнять код в изолированной среде, и злоумышленникам потребуется больше эксплойтов для выхода из песочницы и выполнения своего кода в целевой системе.

Недостаток позволяет удаленным злоумышленникам выполнять произвольный код в установках Windows, но требуется взаимодействие с пользователем, и это делает вещи менее ужасными. Жертва должна будет посетить вредоносную страницу или открыть вредоносный файл, который позволит запустить вредоносный JScript в системе.

Глюк в стандарте Microsoft ECMAScript

Это компонент JScript, который используется в Internet Explorer. Это вызывает проблемы, поскольку, выполняя действия в сценарии, злоумышленники могут инициировать повторное использование указателя после его освобождения. Жук был впервые отправлен в Редмонд в январе этого года. В настоящее время. Это раскрывается публике без патча. Недостаток помечен с оценкой CVSS 6, 8, говорит ZDI, и это означает, что это красуется средней степени тяжести.

По словам Горенка, патч будет в пути как можно скорее, но точная дата пока не сообщается. Итак, мы не знаем, будет ли он включен в следующий патч во вторник. Единственный доступный совет для пользователей - ограничить свое взаимодействие с приложением доверенными файлами.