Saugumo ekspertai aptiko „Windows“ pažeidžiamumą, įvertintą kaip vidutinio sunkumo. Tai leidžia nuotoliniams užpuolikams vykdyti savavališką kodą ir jis egzistuoja tvarkant klaidų objektus „JScript“. „Microsoft“ dar neišleido klaidos pataisos. Iniciatyvinė „Trend Micro“ grupės „Zero Day“ grupė atskleidė, kad trūkumą atrado Dmitrijus Kaslovas iš „Telespace Systems“.

Pažeidžiamumas nėra išnaudojamas gamtoje

Pasak ZDI direktoriaus Briano Gorenco, nėra jokių požymių, kad pažeidžiamumas bus išnaudojamas gamtoje. Jis paaiškino, kad klaida bus tik sėkmingo išpuolio dalis. Jis tęsė ir teigė, kad pažeidžiamumas leidžia vykdyti kodą smėlio dėžės aplinkoje, o užpuolikams prireiks daugiau išnaudojimo būdų, norint išvengti smėlio dėžės ir vykdyti savo kodą tikslinėje sistemoje.

Šis trūkumas leidžia nuotoliniams užpuolikams vykdyti savavališką kodą „Windows“ diegimuose, tačiau reikalinga vartotojo sąveika, ir tai daro dalykus mažiau baisius. Auka turės aplankyti kenksmingą puslapį arba atidaryti kenksmingą failą, kuris leistų sistemoje vykdyti kenksmingą JScript.

Gedimas yra „Microsoft“ ECMAScript standarte

Tai yra „JScript“ komponentas, naudojamas „Internet Explorer“. Tai sukelia problemų, nes atlikdami scenarijaus veiksmus užpuolikai gali suaktyvinti rodyklę pakartotiniam naudojimui po jos išlaisvinimo. Pirmą kartą klaida Redmond'ui buvo išsiųsta šių metų sausį. Dabar. Tai atskleidžiama visuomenei be pleistro. Pasak ZDI, trūkumas pažymėtas CVSS balais 6, 8, o tai reiškia, kad jis vidutiniškai sunkus.

Anot Gorenco, pleistras bus pakeistas kuo greičiau, tačiau tiksli data nebuvo atskleista. Taigi, mes nežinome, ar jis bus įtrauktas į kitą „Patch“ antradienį. Vienintelis turimas patarimas yra vartotojams apriboti jų sąveiką su programa tik patikimais failais.