趋势科技旗下的零时差倡议(Zero-Day Initiative,ZDI)项目本周披露微软Windows操作系统中的JScript组件含有一零时差漏洞,将允许黑客自远程执行任意程序。
JScript与JavaScript是同样的程序语言,为了避免商标争议,微软于Windows中将它称为JScript。
ZDI表示,该漏洞存在于JScript处理错误对象,于脚本中采取行动时,黑客可以让一个指标在释放后重新被使用,再借由该漏洞执行程序。这是一个需要用户交互的漏洞,当黑客诱导用户打开一个恶意文件或访问恶意网页时即可开采该漏洞。
ZDI早在今年1月23日就向微软提报该漏洞,但微软在120天的限期内都未修补,使得ZDI只好在没有修补程序的状态下公开该漏洞。 ZDI并未公布漏洞细节,仅说目前唯一缓解之道是只与可靠的文件交互。