Una falla ha sido descubierta en el componente de JScript de Windows. La vulnerabilidad puede provocar la ejecución de código malicioso en un sistema vulnerable, los investigadores advierten.
Más acerca de la vulnerabilidad de JScript Componente
La falla de JScript fue descubierto por el investigador de seguridad Dmitri Kaslov que lo dio a Iniciativa Día Cero de Trend Micro (PENSAR). El proyecto se centra en la divulgación de vulnerabilidades intermediar entre el investigador independiente y empresas. Tenga en cuenta que el defecto se ha revelado públicamente sin un parche de acuerdo con la ZDI 120 fecha límite el día.
Porqué es eso? ZDI expertos reportaron el problema a Microsoft hace unos meses, en Enero, pero Microsoft todavía no ha lanzado un parche para tratar el fallo. ZDI publicó recientemente un resumen con algunos detalles técnicos con respecto a la falla.
Como fijado por ZDI:
Esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en instalaciones vulnerables de Microsoft Windows. La interacción del usuario se requiere para explotar esta vulnerabilidad en que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso.
La vulnerabilidad existe dentro de la manipulación de objetos de error en JScript. Por las acciones que realizan en escritura, un atacante puede provocar un puntero a ser reutilizado después de que ha sido liberado, ZDI añadió. Un atacante puede aprovechar este fallo para ejecutar código en el contexto del proceso actual.
Más acerca del Componente JScript
JScript es dialecto del estándar ECMAScript de Microsoft, utilizado en Internet Explorer de Microsoft. JScript se implementa como un significado activa el motor de secuencias de comandos que puede ser “conectado” para aplicaciones de automatización OLE que admiten secuencias de comandos ActiveX, como Internet Explorer, Active Server Pages, y Windows Script Host. En breve, JScript es componente implementación personalizada de Microsoft de JavaScript.
Dado que la falla afecta a este componente, el usuario debe ser engañado (por el atacante) para acceder a una página web maliciosa o descargar y ejecutar un archivo JS malicioso en su sistema de. El archivo se ejecuta utilizando el Windows Script Host, o wscript.exe.
Dada la naturaleza de la vulnerabilidad de la única estrategia de mitigación saliente es restringir la interacción con la aplicación de archivos de confianza, los investigadores dijeron ZDI.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: