Investigadores de seguridad detectan una vulnerabilidad en un componente JSCript de Windows, que permite a un atacante ejecutar código malicioso en el computador de la victima.
Dmitri Kaslov de Telspace System, informó esta vulnerabilidad al equipo de TrendMicro (ZDI, ZeroDays Initiative) quien funciona como intermediario entre investigadores independientes y grandes empresas.
Los expertos de ZDI informaron el problema a Microsoft en enero, pero Microsoft aún no ha lanzado el parche para solucionar esta vulnerabilidad. Ayer, ZDI publicó un resumen que contiene detalles técnicos ligeros sobre el error.
Como la vulnerabilidad afecta a un componente de JScript, que esta personalizado por Microsoft, la vulnerabilidad solo afecta si un el atacante engaña al usuario para que acceda a una página web maliciosa, o descargue y abra un archivo JS malicioso en el sistema (generalmente ejecutado a través de Windows Script Host -wscript.exe).
Como el plazo de vulnerabilidad ya paso, ZDI hizo publica la vulnerabilidad, pero hasta que microsoft no lance el parche, no habrán detalles sobre la investigación.
Según el Brian Gorenc, director de ZDI, indico que al falla no es tan grave como se indica, ya que esta ejecución de código remoto tendrá un alcance dentro de un ambiente particular, y que el atacante deberá tener exploit adicionales para causar un daño real en equipo final.
La vulnerabilidad tiene una nota de 6.8 de 10 en la escala de severidad de CVS.
Según Gorenc, viene un parche por parte de Microsoft. "Hasta donde tenemos conocimiento, Microsoft todavía tiene la intención de liberar una solución para este error. Sin embargo, no completaron la corrección dentro de los plazos establecidos en nuestra política de divulgación".
ZDI, tiene una politica de divulgación de 120 días, posterior a la notificación a la empresa.
