Уязвимость присутствует по всех 32-х битных версиях Windows, вышедших с того времени, включая Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 и Windows 7.

Microsoft уже создала специальную страничку, посвященную проблеме, где описала, что она содержится в ядре Windows и может использоваться для поднятия привилегий. В то же время Microsoft дала ясно понять, что 64-х битные Windows, включая Windows Server 2008 R2, данную уязвимость не содержат.

Уязвимость обнаружил представитель команды безопасности Google Тевис Орманди (Tavis Ormandy). К счастью, она содержится виртуальной машине DOS (Virtual DOS Machine или VDM), использующейся для поддержки 16-ти битных приложений.

Уязвимость позволяет непривилегированной 16-ти битной программе манипулировать (с помощью ряда уловок) стеком ядра каждого процесса, потенциально позволяя атакующему выполнять код на привилегированном системном уровне, и в частности устанавливать программы, просматривать, изменять или удалять данные или создавать новые полноправные аккаунты.

В то же время Microsoft сообщает, что сведений об атаках с использованием этой уязвимости у нее пока нет, да и вообще риск ее использования - ограничен. Ведь для атаки хакеру уже необходимо иметь аккаунт на компьютере и получить к нему доступ локально.

Тем не менее, по словам представителя Microsoft, компания пока еще изучает проблему и выпустит к ней исправление в ближайшем будущем. Пока же она предлагает просто отключить подсистему NTVDM. Для этого достаточно включить пункт “Windows Components\Application Compatibility\Prevent access to 16-bit applications" в редакторе локальных политик безопасности.

Интересно, что Орманди сообщил о проблеме в Microsoft уже 12-го июня 2009 года. И через десять дней компания подтвердила получение его сообщения. Однако проблема до сих пор остается не решенной.

Источник