Pakar keselamatan mendapati kelemahan Windows dinilai sebagai tahap sederhana. Ini membolehkan penyerang jauh untuk melaksanakan kod sewenang-wenang dan ia wujud dalam pengendalian objek ralat dalam JScript. Microsoft tidak melancarkan patch untuk bug itu lagi. Kumpulan Inisiatif Zero Day Trend Micro mendedahkan bahawa kecacatan itu telah ditemui oleh Dmitri Kaslov dari Sistem Telespace.

Kelemahan ini tidak dieksploitasi di alam liar

Tiada indikasi kelemahan yang dieksploitasi di alam liar, menurut Brian Gorenc, pengarah ZDI. Dia menjelaskan bahawa bug itu hanya akan menjadi sebahagian daripada serangan yang berjaya. Beliau meneruskan dan berkata bahawa kelemahan itu membolehkan pelaksanaan kod dalam persekitaran kotak pasir dan penyerang memerlukan lebih banyak eksploit untuk melepaskan kotak pasir dan melaksanakan kod mereka pada sistem sasaran.

Kecacatan itu membolehkan penyerang jauh untuk melaksanakan kod sewenang-wenangnya pada pemasangan Windows tetapi interaksi pengguna diperlukan, dan ini menjadikan perkara-perkara yang kurang mengerikan. Mangsa perlu melawat laman berniat jahat atau membuka fail berniat jahat yang akan membolehkan pelaksanaan JScript berbahaya pada sistem.

Kejahatan dalam piawaian ECMAScript Microsoft

Ini adalah komponen JScript yang digunakan dalam Internet Explorer. Ini menyebabkan masalah kerana dengan melakukan tindakan dalam skrip, penyerang boleh mencetuskan penunjuk yang akan digunakan semula setelah dibebaskan. Bug pertama kali dihantar ke Redmond pada Januari tahun ini. Sekarang. Ia diturunkan kepada orang ramai tanpa patch. Kecacatan dilabelkan dengan skor CVSS sebanyak 6.8, kata ZDI dan ini bermakna ia menimbulkan keparahan yang sederhana.

Menurut Gorenc, patch akan dalam perjalanan secepat mungkin, tetapi tiada tarikh yang tepat telah dinyatakan. Jadi, kita tidak tahu sama ada ia akan disertakan dalam Patch Selasa yang akan datang. Nasihat yang ada hanya untuk pengguna untuk menyekat interaksi mereka dengan aplikasi kepada fail yang dipercayai.