Błąd w języku VBScript umożliwiający atak na system użytkownika odkrył Polak, Maurycy Prodeus. Stwarzane przez niego zagrożenie ocenił jako "średnie" ze względu na konieczność reakcji użytkownika. Jednak jak przyznał Microsoft, hakerzy którym uda się wykorzystać tę lukę, mogą przejąć całkowitą kontrolę nad komputerem ofiary.

Microsoft w dokumencie opisującym błąd napisał, że jest on związany ze sposobem, w jaki VBScript wchodzi w interakcję z pomocą Windows podczas korzystania z Internet Explorera. Złośliwy kod może zostać uruchomiony, gdy użytkownik zachęcony przez stronę wciśnie klawisz F1.

Zobacz również:

• Luka „Zenbleed” w AMD pozwala hakerom wykradać dane z procesorów Ryzen
• Użytkownicy Androida mogą się wkrótce zdziwić
• Microsoft zapowiada nową linię małych modeli językowych AI

Według Microsoftu atak hakerów z wykorzystaniem błędu jest możliwy w systemach Windows 2000, Windows XP, a także Windows Server 2003, przy korzystaniu z Internet Explorera w wersji 6, 7 lub 8. Okienko zachęcające do użycia F1 może pojawiać się bez końca, nagabując użytkownika do wciśnięta klawisza pomocy.

"Tymczasowo użytkownikom radzimy nie korzystać z klawisza F1" napisał na blogu David Ross, inżynier z centrum The Microsoft Security Response Center (MSRC).

Do czasu opracowania łaty bezpieczeństwa można zablokować pomoc Windows. Procedura jest opisana w dokumencie Microsoftu. Pozwoli to uniknąć uruchomienia złośliwego kodu, po odruchowym lub incydentalnym wciśnięciu klawisza F1.

Firma z Redmond nie podała dokładnej daty publikacji poprawki. Następna, planowana aktualizacja bezpieczeństwa jest przewidziana na 9. marca.