Pakar keamanan menemukan kerentanan Windows yang dinilai sebagai tingkat keparahan sedang. Ini memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer dan itu ada dalam penanganan objek kesalahan di JScript. Microsoft belum meluncurkan patch untuk bug tersebut. Grup Zero Zero Initiative Group mengungkapkan bahwa kelemahan itu ditemukan oleh Dmitri Kaslov dari Telespace Systems.

Kerentanan tidak dieksploitasi di alam liar

Tidak ada indikasi kerentanan dieksploitasi di alam liar, menurut Brian Gorenc, direktur ZDI. Dia menjelaskan bahwa bug itu hanya akan menjadi bagian dari serangan yang berhasil. Dia melanjutkan dan mengatakan bahwa kerentanan memungkinkan eksekusi kode di lingkungan kotak pasir dan penyerang akan membutuhkan lebih banyak eksploitasi untuk keluar dari kotak pasir dan mengeksekusi kode mereka pada sistem target.

Cacat ini memungkinkan penyerang jarak jauh untuk mengeksekusi kode sewenang-wenang pada instalasi Windows tetapi interaksi pengguna diperlukan, dan ini membuat hal-hal yang kurang mengerikan. Korban harus mengunjungi halaman jahat atau membuka file jahat yang akan memungkinkan eksekusi JScript jahat pada sistem.

Kesalahannya adalah dalam standar ECMAScript Microsoft

Ini adalah komponen JScript yang digunakan di Internet Explorer. Ini menyebabkan masalah karena dengan melakukan tindakan dalam skrip, penyerang dapat memicu pointer untuk digunakan kembali setelah dibebaskan. Bug tersebut pertama kali dikirim ke Redmond pada bulan Januari tahun ini. Sekarang. Ini diungkapkan kepada publik tanpa tambalan. Cacat diberi label dengan skor CVSS 6, 8, kata ZDI dan ini berarti ia memamerkan keparahan sedang.

Menurut Gorenc, sebuah tambalan akan berada di jalan sesegera mungkin, tetapi tidak ada tanggal pasti yang terungkap. Jadi, kami tidak tahu apakah itu akan dimasukkan dalam Patch Selasa berikutnya. Satu-satunya saran yang tersedia adalah bagi pengguna untuk membatasi interaksi mereka dengan aplikasi ke file tepercaya.