Säkerhetsexperter upptäckte en Windows-sårbarhet klassad som medelhög. Detta gör att fjärrattackare kan köra godtycklig kod och den finns inom hanteringen av felobjekt i JScript. Microsoft rullade inte ut en korrigeringsfil för felet ännu. Trend Micro: s Zero Day Initiative Group avslöjade att bristen upptäcktes av Dmitri Kaslov från Telespace Systems.

Sårbarheten utnyttjas inte i naturen

Det finns inget som tyder på att sårbarheten utnyttjas i naturen, enligt Brian Gorenc, ZDI: s direktör. Han förklarade att felet bara skulle vara en del av en framgångsrik attack. Han fortsatte och sa att sårbarheten möjliggör körning av kod i en sandlådamiljö och angriparna skulle behöva fler utnyttjanden för att undkomma sandlådan och köra deras kod i ett målsystem.

Felet gör att fjärrattackare kan köra godtycklig kod på Windows-installationer men användarinteraktion krävs, och detta gör saker mindre hemska. Offret måste besöka en skadlig sida eller öppna en skadlig fil som möjliggör körning av det skadliga JScript på systemet.

Felet finns i Microsofts ECMAScript-standard

Det här är JScript-komponenten som används i Internet Explorer. Detta orsakar problem eftersom angripare genom att utföra åtgärder i skriptet kan utlösa en pekare att återanvändas efter att den har frigjorts. Buggen skickades först till Redmond i januari i år. Nu. Det avslöjas för allmänheten utan någon korrigering. Felet är märkt med en CVSS-poäng på 6, 8, säger ZDI och det betyder att det vacklar en måttlig svårighetsgrad.

Enligt Gorenc kommer en lapp att vara på väg så snart som möjligt, men inget exakt datum har avslöjats. Så vi vet inte om det kommer att inkluderas i nästa patch tisdag. Det enda tillgängliga rådet är för användare att begränsa sina interaktioner med applikationen till pålitliga filer.