En fejl er blevet opdaget i Windows 's JScript komponent. Sårbarheden kan føre til udførelse af skadelig kode på et sårbart system, forskere advarer.
Mere om JScript Component Sårbarhed
Den JScript fejl blev opdaget af sikkerhedsekspert Dmitri Kaslov som gav det til Trend Micros Zero-Day Initiative (TÆNK). Projektet er fokuseret på formidles sårbarhed videregivelse mellem uafhængig forsker og virksomheder. Bemærk, at fejl bliver oplyses offentligt uden en patch i overensstemmelse med ZDI 120 deadline dag.
Hvorfor det? ZDI eksperter rapporteret problemet til Microsoft par måneder siden, i januar, men Microsoft har endnu ikke frigivet en patch til at løse fejlen. ZDI nylig offentliggjort et resumé med nogle tekniske detaljer vedrørende fejl.
Som erklærede af ZDI:
Dette gjorde det muligt for fjernangribere at udføre vilkårlig kode på sårbare installationer af Microsoft Windows. Bruger interaktion er nødvendig for at udnytte denne sårbarhed i, at målet skal besøge en ondsindet side eller åbne en skadelig fil.
Sårbarheden eksisterer inden håndteringen af Error objekter i JScript. Ved at udføre handlinger i script, en hacker kan forårsage en pointer til genanvendes efter det er blevet befriet, ZDI tilføjet. En angriber kan udnytte fejlen til at udføre kode under forbindelse med den igangværende proces.
Mere om JScript Component
JScript er Microsofts dialekt af ECMAScript standard, anvendes i Microsofts Internet Explorer. JScript er implementeret som en Active Scripting motor betyder, at det kan være “koblet til” til OLE Automation applikationer, der understøtter Active Scripting, såsom Internet Explorer, Active Server Pages, og Windows Script Host. Kort, JScript komponent er Microsofts skik implementering af JavaScript.
Da fejlen påvirker denne komponent, brugeren skal blive lokket (af angriberen) at få adgang til en ondsindet webside eller downloade og eksekvere en ondsindet JS fil på hans system. Filen vil blive henrettet ved hjælp af Windows Script Host, eller wscript.exe.
I betragtning af arten af sårbarheden den eneste fremtrædende afbødning strategi er at begrænse interaktion med ansøgningen til betroede filer, ZDI forskere sagde.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: