Une faille a été découverte dans le composant JScript Windows. La vulnérabilité peut conduire à l'exécution de code malveillant sur un système vulnérable, chercheurs avertissent.
En savoir plus sur la vulnérabilité des composants JScript
La faille JScript a été découvert par le chercheur en sécurité Dmitri Kaslov qui lui a donné à l'initiative Zero-Day de Trend Micro (PENSEZ). Le projet est axé sur la divulgation de la vulnérabilité entre le chercheur indépendant d'intermédiation et les entreprises. Notez que le défaut est divulguée au public sans un patch conformément à la ZDI 120 date limite jour.
Pourquoi donc? experts ZDI ont signalé le problème il y a quelques mois à Microsoft, en janvier, mais Microsoft n'a pas encore publié un correctif pour résoudre le bug. ZDI a récemment publié un résumé avec quelques détails techniques concernant la faille.
Comme déclaré par ZDI:
Cette vulnérabilité permet à des attaquants distants d'exécuter du code arbitraire sur les installations vulnérables de Microsoft Windows. l'interaction de l'utilisateur est nécessaire pour exploiter cette vulnérabilité en ce que la cible doit visiter une page malicieuse ou ouvrir un fichier malveillant.
La vulnérabilité existe dans le traitement des objets d'erreur dans JScript. En effectuant des actions dans le script, un attaquant peut provoquer un pointeur à être réutilisé après qu'il a été libéré, ZDI ajouté. Un attaquant peut exploiter cette faille pour exécuter du code dans le contexte du processus en cours.
En savoir plus sur la composante JScript
JScript est le dialecte de Microsoft de la norme ECMAScript, utilisé dans Internet Explorer de Microsoft. JScript est mis en œuvre un sens du moteur Active Scripting qu'il peut être “branché” aux applications OLE Automation qui prennent en charge Active Scripting, tels que Internet Explorer, Active Server Pages, et Windows Script Host. En bref, composante JScript est l'implémentation personnalisée de Microsoft de JavaScript.
Étant donné que le défaut affecte cette composante, l'utilisateur doit être dupé (par l'attaquant) pour accéder à une page web malicieuse ou télécharger et exécuter un fichier JS malveillant sur son système. Le fichier sera exécuté en utilisant le Windows Script Host, ou wscript.exe.
Compte tenu de la nature de la vulnérabilité la seule stratégie d'atténuation saillant est de limiter l'interaction avec l'application de fichiers de confiance, chercheurs ZDI a déclaré.