Beveiligingsexperts ontdekten een Windows-kwetsbaarheid met een gemiddelde ernst. Hiermee kunnen externe aanvallers willekeurige code uitvoeren en deze bestaat binnen de afhandeling van foutobjecten in JScript. Microsoft heeft nog geen patch voor de bug uitgerold. De Zero Day Initiative Group van Trend Micro onthulde dat de fout werd ontdekt door Dmitri Kaslov van Telespace Systems.

Het beveiligingslek wordt niet in het wild misbruikt

Volgens Brian Gorenc, directeur van ZDI, zijn er geen aanwijzingen voor de kwetsbaarheid die in het wild wordt uitgebuit. Hij legde uit dat de bug alleen deel zou uitmaken van een succesvolle aanval. Hij ging verder en zei dat door het beveiligingslek code kan worden uitgevoerd in een sandbox-omgeving en aanvallers meer exploits nodig hebben om uit de sandbox te ontsnappen en hun code op een doelsysteem uit te voeren.

Door de fout kunnen externe aanvallers willekeurige code uitvoeren op Windows-installaties, maar interactie van de gebruiker is vereist en dit maakt de zaken minder vreselijk. Het slachtoffer zou een kwaadwillende pagina moeten bezoeken of een kwaadaardig bestand moeten openen waarmee de kwaadaardige JScript op het systeem kan worden uitgevoerd.

De glitch zit in de ECMAScript-standaard van Microsoft

Dit is de JScript-component die wordt gebruikt in Internet Explorer. Dit veroorzaakt problemen omdat aanvallers door acties in het script uit te voeren, een aanwijzer kunnen laten hergebruiken nadat deze is vrijgegeven. De bug werd voor het eerst in januari van dit jaar naar Redmond verzonden. Nu. Het wordt zonder patch aan het publiek onthuld. De fout is gelabeld met een CVSS-score van 6, 8, zegt ZDI en dit betekent dat hij een matige ernst pronkt.

Volgens Gorenc is een patch zo snel mogelijk onderweg, maar er is geen exacte datum bekendgemaakt. Dus we weten niet of het zal worden opgenomen in de volgende patch dinsdag. Het enige beschikbare advies is voor gebruikers om hun interacties met de applicatie te beperken tot vertrouwde bestanden.