Gli esperti della Zero-Day Initiative (ZDI) di Trend Micro hanno segnalato la scoperta di una vulnerabilità nel componente JScript di Windows.
Essa può consentire a un malintenzionato di eseguire codice nocivo sul PC dell’utente semplicemente spronando quest’ultimo ad aprire una pagina web dannosa o a fare doppio clic su un file JS, di solito gestito dal Windows Script Host.
Il problema ha a che fare con la gestione degli oggetti “Error” in JScript, l’implementazione Microsoft di JavaScript. Un aggressore può sfruttare questa lacuna per eseguire codice nocivo all’interno del processo correntemente caricato in memoria.
Il bug era stato segnalato a Microsoft da parte del team di ZDI lo scorso gennaio ma soltanto adesso se ne parla in quanto è stato concesso alla società di Redmond tutto il tempo necessario per studiare la problematica.
ZDI ha pubblicato un bollettino che riassume i concetti alla base del bug individuato nel componente JScript. Al momento, però, si è preferito non fornire i dettagli tecnici perché una patch ancora non esiste e la vulnerabilità potrebbe essere abbinata a un’altra per causare danni sull’intero sistema o disporre la sottrazione di informazioni personali.
Di per sé, infatti, la vulnerabilità scoperta in Windows non consente il superamento delle misure di sicurezza del browser: una pagina web malevola può al massimo eseguire codice all’interno della sandbox ma non può superare i paletti posti da quest’ultima.
Per questo motivo la falla diventerebbe davvero critica se combinata con un’altra in grado di superare il perimetro della sandbox.