Menú

Vulnerabilidad en JScript un complemento de Microsoft

Para comenzar primero explicaremos brevemente  un poco que es JScript

JScript es la implementación de Microsoft de ECMAScript. Está disponible mediante Internet Explorer y el Windows Scripting Host. La versión más reciente es JScript .NET, que está basado en la versión 4 del estándar ECMAScript (aún no terminado), y puede ser compilado para la plataforma Microsoft .NET.

JScript no es lo mismo que JavaScript. Este último es el estándar (también se le llamó ECMAScript), mientras que el primero es propiedad de Microsoft.

Resumen de la vulnerabilidad reportada por ZDI

La iniciativa Zero-Day de Trend Micro realizo una publicación sobre una vulnerabilidad que afecta a  JScritp  en este resumen se detallan informes  técnicos sobre una vulnerabilidad en el componente JScript del sistema operativo Windows que permite a los hackers remotos ejecutar código malicioso en la computadora de la víctima.
Según ZDI, la vulnerabilidad puede explotarse al dirigirse a instalaciones en Microsoft Windows y requiere la interacción del usuario visitando una página maliciosa o descargando y abriendo un archivo malicioso en el sistema.
“La falla específica existe en el manejo de objetos Error en JScript”, dijo ZDI en el aviso. “Al realizar acciones en la secuencia de comandos, un atacante puede hacer que se vuelva a utilizar un puntero después de que se haya liberado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual “.
ZDI había informado esta vulnerabilidad a Microsoft por primera vez en enero después de que Dmitri Kaslov de Telspace Systems descubriera el error y haya revelado la vulnerabilidad al público de acuerdo con su fecha límite de 120 días.
Según los informes, Microsoft está trabajando en un parche, pero como no pudo cumplir con la fecha límite de ZDI, ZDI ha revelado detalles claros de la vulnerabilidad.
Brian Gorenc, director de Zero Day Initiative de Trend Micro, le dijo a Bleeping Computer : “Debido a la sensibilidad del error, no queremos proporcionar demasiados detalles técnicos hasta que haya una solución completa de Microsoft disponible”.
También dijo que la falla no conduce a un compromiso total del sistema, ya que solo permite la ejecución del código “dentro de un entorno de recinto de seguridad”. “Un atacante necesitaría exploits adicionales para escapar de la zona de pruebas y ejecutar su código en el sistema de destino”, dijo.