Os especialistas em segurança descobriram uma vulnerabilidade do Windows classificada como de gravidade média. Isso permite que atacantes remotos executem código arbitrário e ele existe no tratamento de objetos de erro no JScript. A Microsoft ainda não lançou um patch para o bug. O Zero Day Initiative Group da Trend Micro revelou que a falha foi descoberta por Dmitri Kaslov, da Telespace Systems.

A vulnerabilidade não é explorada na natureza

Não há indicação da vulnerabilidade sendo explorada na natureza, de acordo com Brian Gorenc, diretor da ZDI. Ele explicou que o bug seria apenas parte de um ataque bem-sucedido. Ele continuou e disse que a vulnerabilidade permite a execução de código em um ambiente em área restrita e os invasores precisariam de mais explorações para escapar da área restrita e executar seu código em um sistema de destino.

A falha permite que atacantes remotos executem código arbitrário nas instalações do Windows, mas a interação do usuário é necessária, e isso torna as coisas menos horríveis. A vítima teria que visitar uma página maliciosa ou abrir um arquivo malicioso que permitiria a execução do JScript malicioso no sistema.

A falha está no padrão ECMAScript da Microsoft

Este é o componente JScript usado no Internet Explorer. Isso causa problemas porque, ao executar ações no script, os atacantes podem acionar um ponteiro para ser reutilizado depois que ele for liberado. O bug foi enviado pela primeira vez a Redmond em janeiro deste ano. Agora. Está sendo revelado ao público sem um patch. A falha é rotulada com uma pontuação CVSS de 6, 8, diz ZDI e isso significa que exibe uma gravidade moderada.

De acordo com Gorenc, um patch estará a caminho o mais rápido possível, mas nenhuma data exata foi revelada. Portanto, não sabemos se ele será incluído na próxima terça-feira de patch. A única recomendação disponível é para os usuários restringirem suas interações com o aplicativo a arquivos confiáveis.