భద్రతా నిపుణులు మీడియం-తీవ్రతగా రేట్ చేయబడిన విండోస్ దుర్బలత్వాన్ని కనుగొన్నారు. ఇది రిమోట్ దాడి చేసేవారిని ఏకపక్ష కోడ్‌ను అమలు చేయడానికి అనుమతిస్తుంది మరియు ఇది JScript లోని లోపం వస్తువుల నిర్వహణలో ఉంది. మైక్రోసాఫ్ట్ ఇంకా బగ్ కోసం పాచ్ చేయలేదు. ట్రెండ్ మైక్రో యొక్క జీరో డే ఇనిషియేటివ్ గ్రూప్ ఈ లోపాన్ని టెలిస్పేస్ సిస్టమ్స్ యొక్క డిమిత్రి కాస్లోవ్ కనుగొన్నట్లు వెల్లడించింది.

దుర్బలత్వం అడవిలో దోపిడీ చేయబడదు

ZDI డైరెక్టర్ బ్రియాన్ గోరెన్క్ ప్రకారం, అడవిలో దుర్బలత్వం దోపిడీకి సూచనలు లేవు. బగ్ విజయవంతమైన దాడిలో భాగంగా మాత్రమే ఉంటుందని ఆయన వివరించారు. అతను కొనసాగించాడు మరియు దుర్బలత్వం శాండ్‌బాక్స్‌డ్ వాతావరణంలో కోడ్ అమలును అనుమతిస్తుంది మరియు దాడి చేసేవారికి శాండ్‌బాక్స్ నుండి తప్పించుకోవడానికి మరియు వారి కోడ్‌ను లక్ష్య వ్యవస్థలో అమలు చేయడానికి ఎక్కువ దోపిడీలు అవసరమవుతాయని చెప్పారు.

లోపం రిమోట్ దాడి చేసేవారిని విండోస్ ఇన్‌స్టాలేషన్‌లలో ఏకపక్ష కోడ్‌ను అమలు చేయడానికి అనుమతిస్తుంది, కాని వినియోగదారు ఇంటరాక్షన్ అవసరం, మరియు ఇది విషయాలు తక్కువ భయంకరంగా చేస్తుంది. బాధితుడు హానికరమైన పేజీని సందర్శించాలి లేదా హానికరమైన ఫైల్‌ను తెరవాలి, ఇది సిస్టమ్‌లో హానికరమైన JScript ను అమలు చేయడానికి అనుమతిస్తుంది.

లోపం మైక్రోసాఫ్ట్ యొక్క ECMAScript ప్రమాణంలో ఉంది

ఇది ఇంటర్నెట్ ఎక్స్‌ప్లోరర్‌లో ఉపయోగించిన JScript భాగం. ఇది సమస్యలను కలిగిస్తుంది ఎందుకంటే స్క్రిప్ట్‌లో చర్యలను చేయడం ద్వారా, దాడి చేసినవారు ఒక పాయింటర్‌ను విడుదల చేసిన తర్వాత తిరిగి ఉపయోగించుకునేలా చేస్తుంది. ఈ బగ్‌ను ఈ ఏడాది జనవరిలో రెడ్‌మండ్‌కు తిరిగి పంపారు. ఇప్పుడు. ఇది పాచ్ లేకుండా ప్రజలకు తెలుస్తుంది. లోపం సివిఎస్ఎస్ స్కోరు 6.8 తో లేబుల్ చేయబడిందని జెడ్డిఐ తెలిపింది మరియు దీని అర్థం ఇది మితమైన తీవ్రతను చాటుతుంది.

గోరెన్క్ ప్రకారం, వీలైనంత త్వరగా ఒక పాచ్ దాని మార్గంలో ఉంటుంది, కానీ ఖచ్చితమైన తేదీ వెల్లడించలేదు. కాబట్టి, ఇది తదుపరి ప్యాచ్ మంగళవారం చేర్చబడుతుందో లేదో మాకు తెలియదు. వినియోగదారులు అనువర్తనంతో వారి పరస్పర చర్యలను విశ్వసనీయ ఫైల్‌లకు పరిమితం చేయడం మాత్రమే అందుబాటులో ఉన్న సలహా.