Los expertos en seguridad descubrieron una vulnerabilidad de Windows clasificada como de gravedad media. Esto permite a los atacantes remotos ejecutar código arbitrario y existe dentro del manejo de objetos de error en JScript. Microsoft aún no ha implementado un parche para el error. El grupo de la Iniciativa Día Cero de Trend Micro reveló que el fallo fue descubierto por Dmitri Kaslov de Telespace Systems.
La vulnerabilidad no se explota en el medio silvestre
No hay indicios de la vulnerabilidad que se está explotando en la naturaleza, según Brian Gorenc, director de ZDI. Explicó que el error sólo sería parte de un ataque exitoso. Continuó diciendo que la vulnerabilidad permite la ejecución de código en un entorno de caja de arena y que los atacantes necesitarían más exploits para escapar de la caja de arena y ejecutar su código en un sistema objetivo.
La falla permite a los atacantes remotos ejecutar código arbitrario en instalaciones de Windows, pero se requiere la interacción del usuario, y esto hace que las cosas sean menos horribles. La víctima tendría que visitar una página maliciosa o abrir un archivo malicioso que permitiría la ejecución del JScript malicioso en el sistema.
El fallo está en el estándar ECMAScript de Microsoft
Este es el componente JScript que se utiliza en Internet Explorer. Esto causa problemas porque al realizar acciones en el script, los atacantes pueden disparar un puntero para que sea reutilizado después de que haya sido liberado. El bicho fue enviado por primera vez a Redmond en enero de este año. Ahora. Está siendo revelado al público sin un parche. La falla está etiquetada con una puntuación de 6,8 en el CVSS, dice ZDI, lo que significa que ostenta una gravedad moderada.
Según Gorenc, un parche estará en camino lo antes posible, pero no se ha revelado la fecha exacta. Por lo tanto, no sabemos si se incluirá en el próximo Patch Tuesday. El único consejo disponible es que los usuarios restrinjan sus interacciones con la aplicación a archivos de confianza.