Les experts en sécurité ont découvert une vulnérabilité de Windows qualifiée de gravité moyenne. Cela permet à des attaquants distants d'exécuter du code arbitraire et cela existe dans le traitement des objets d'erreur dans JScript. Microsoft n'a pas encore déployé de correctif pour le bogue. Le Zero Day Initiative Group de Trend Micro a révélé que la faille avait été découverte par Dmitri Kaslov de Telespace Systems.

La vulnérabilité n'est pas exploitée à l'état sauvage

Selon Brian Gorenc, directeur de ZDI, rien n'indique que la vulnérabilité soit exploitée à l'état sauvage. Il a expliqué que le bogue ne ferait partie que d'une attaque réussie. Il a poursuivi en expliquant que la vulnérabilité permettait l'exécution de code dans un environnement en bac à sable et que les attaquants auraient besoin de plus d'exploits pour sortir du sandbox et exécuter leur code sur un système cible.

La faille permet à des attaquants distants d’exécuter du code arbitraire sur les installations Windows, mais une interaction de l’utilisateur est requise, ce qui rend les choses moins horribles. La victime devrait visiter une page malveillante ou ouvrir un fichier malveillant qui permettrait l'exécution du code JScript malveillant sur le système.

Le problème est dans le standard ECMAScript de Microsoft

C'est le composant JScript utilisé dans Internet Explorer. Cela pose des problèmes car, en effectuant des actions dans le script, les attaquants pourraient déclencher la réutilisation du pointeur après sa libération. Le virus a d'abord été envoyé à Redmond en janvier de cette année. Maintenant. Il est révélé au public sans patch. La faille est étiquetée avec un score CVSS de 6, 8, dit ZDI, ce qui signifie qu’elle affiche une gravité modérée.

Selon Gorenc, un patch sera bientôt disponible, mais aucune date précise n'a été révélée. Donc, nous ne savons pas si cela sera inclus dans le prochain Patch mardi. Le seul conseil disponible est que les utilisateurs limitent leurs interactions avec l'application aux fichiers de confiance.