Злоумышленник может выполнить код благодаря 0-day в Windows JScript
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Злоумышленник может выполнить код благодаря 0-day в Windows JScript

Олег Иванов 31 Мая 2018 - 11:28
...
Злоумышленник может выполнить код благодаря 0-day в Windows JScript

В компоненте операционной системы Windows JScript обнаружена 0-day уязвимость, благодаря ей злоумышленник может выполнить вредоносный код на компьютере пользователя. О наличии такой серьезной проблемы безопасности сообщил исследователь из Telspace Systems Дмитрий Каслов.

Недостаток был раскрыт в рамках Trend Micro Zero-Day Initiative (ZDI) еще в январе, после чего эксперты ZDI сообщили об этом Microsoft.

Спустя четыре месяца корпорация так и не выпустила обновление, устраняющее данную брешь, поэтому специалисты решили опубликовать часть технических подробностей уязвимости. Напомним, что в рамках ZDI обычно принято ждать 120 дней, прежде чем публично освещать проблемы безопасности.

«Эта уязвимость позволит удаленному злоумышленнику выполнить произвольный код на уязвимых системах Microsoft Windows. Однако для эксплуатации данной бреши требуется взаимодействие с пользователем — атакующий должен заставить его посетить вредоносную страницу, либо запустить вредоносный файл», — говорится в опубликованном ZDI отчете.

«Баг присутствует в обработке Error-объектов в JScript, атакующий может вызвать повторное использование указателя после его освобождения. Таким образом, у злоумышленника появится возможность выполнить код в контексте текущего процесса».

По шкале CVSSv2 брешь получила 6,8 баллов из 10.

Как уже было сказано ранее, злоумышленнику требуется заманить пользователя на  вредоносный сайт, либо загрузить на его компьютер JS-файл. Следовательно, уязвимость не позволит киберпреступнику полностью скомпрометировать систему, так как вредоносный код будет выполнять только в изолированной среде.

Microsoft в данный момент работает над устранением этого бага.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

У 85% атакованных компаний не было защиты от фишинга
Яков Шпунт 10 Ноября 2025 - 10:08
Вирусы-вымогателиВирусы-шифровальщикиФишингСоциальная инженерия Малый и средний бизнесКорпорации Антифишинг BI.ZONE
У 85% атакованных компаний не было защиты от фишинга

По данным BI.ZONE, 85% компаний, пострадавших от кибератак, не имели систем защиты от фишинговых писем в электронной почте. Кроме того, 60% организаций, подвергшихся атакам, использовали одни и те же пароли для разных сервисов.

О результатах анализа причин атак сообщил ТАСС со ссылкой на BI.ZONE.

Анализ охватывает случаи заражения программами-шифровальщиками и вайперами (средствами безвозвратного уничтожения данных) в российских компаниях за девять месяцев 2025 года.

Наиболее распространённой предпосылкой для успешных атак стало отсутствие технических средств фильтрации фишинга в коммуникационных сервисах, прежде всего в электронной почте — таких компаний оказалось 85%.

На втором месте (60%) — практика использования одного и того же пароля для доступа к нескольким сервисам: корпоративной почте, внутренним порталам, системам документооборота и другим. Третьей по распространённости причиной стала утечка учётных данных, с которой столкнулась каждая пятнадцатая компания.

Эксперты также отметили двукратный рост числа атак, проведённых через подрядчиков. Если год назад их доля составляла 15%, то в 2025 году она достигла уже 30%.

Примерно треть организаций, пострадавших от шифровальщиков или вайперов, рассматривали в качестве возможной причины инцидента действия сотрудников. Однако, как подчеркнули в BI.ZONE, подтверждённые случаи внутреннего саботажа встречаются крайне редко.

«Киберпреступники в большинстве случаев полагаются на методы социальной инженерии (фишинг), а также на ошибки, которые допускают сами компании», — отметил глава управления по борьбе с киберугрозами в BI.ZONE Михаил Прохоренко.

По результатам анализа, минимальное время от момента проникновения до начала активной фазы атаки составляло всего 12 минут, а максимальное — около шести месяцев. При этом скрытное распространение вредоносных программ может продолжаться год и дольше.

Кроме того, ТАСС со ссылкой на Kaspersky GREAT сообщил, что кибергруппировки, ранее специализировавшиеся на кибершпионаже, всё чаще переходят к вымогательству с помощью шифровальщиков. В 2024 году наблюдалась противоположная тенденция.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Группировка Cavalry Werewolf взломала сеть госоргана с помощью бэкдоров
Новость
Группировка Cavalry Werewolf взломала сеть госоргана с помощ...
В Windows 11 отключили предпросмотр файлов, скачанных из интернета
Новость
В Windows 11 отключили предпросмотр файлов, скачанных из инт...
В России бот-трафик вырос в 1,9 раза, число устройств в ботнетах — в 5 раз
Новость
В России бот-трафик вырос в 1,9 раза, число устройств в ботн...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.