Zero Day Initiative сообщила об уязвимости в JScript на Windows

Организация Zero Day Initiative (ZDI) опубликовала сведения о ранее неизвестной уязвимости в JScript, компоненте операционной системы Windows. Используя баг в процедуре обработки ошибок, злоумышленник может запустить собственный код на машине жертвы. Таким образом, под угрозой оказались приложения, использующие JScript, например, Internet Explorer и wscript.exe.

Серьёзность угрозы оценена в 6,8 баллов из 10 по шкале CVSSv2. Microsoft пока не выпустила исправленного обновления, хотя об ошибке компании сообщили ещё в январе 2018 года.

Патч к JScript в разработке

Согласно принципам деятельности ZDI, после уведомления об уязвимости разработчик получает 120 дней на выпуск патча. После этого описание бреши публикуется в открытом доступе. Однако в этот раз из-за серьёзности угрозы специалисты сообщили минимум технических подробностей.

Представитель Microsoft подтвердил работу над патчем, однако не указал временных рамок. По заявлениям Брайана Горенца (Brian Gorenc), директора ZDI, сведений об использовании уязвимости пока не поступало.

Специалистам Microsoft пришлось потратить порядка 90 дней только на то, чтобы написать код для эксплуатации бреши. Кроме того, по словам Горенца, доступа только к исполнению скриптов на локальной машине будет недостаточно. Для получения полного контроля над устройством жертвы злоумышленнику придётся пустить в ход и другие эксплойты.

Zero Day Initiative реализует программу по поиску уязвимостей в ПО независимыми специалистами за вознаграждение. Сведения об обнаруженных недостатках передаются разработчикам. Через эту организацию поступило сообщение о баге в DNS Resolver для Linux. Кроме того, ZDI входит в число организаторов соревнования для хакеров Pwn2Own.

Источник: Bleeping Computer