Η Microsoft εξέδωσε πριν από μερικές ώρες ανακοίνωση σχετικά με κενό ασφαλείας,που επιτρέπει σε έναν επιτιθέμενο να πάρει τον έλεγχο του υπολογιστή του θύματος, αν ο χρήστης έχει δικαιώματα διαχειριστή.Προκειμένου να επιτύχει την επίθεση, ο hacker μπορεί να στείλει ένα e-mail που φέρει συνημμένο αρχείο Word ήPowerPoint, το οποίο εμπεριέχει κατάλληλα σχεδιασμένο thumbnail. Αν πείσει τον παραλήπτη να το ανοίξει, τότε επιτυγχάνει τον έλεγχο του υπολογιστή του θύματος. Ο επιτιθέμενος μπορεί επίσης να τοποθετήσει το τροποποιημένο αρχείο εικόνας σε ένα κοινόχρηστο δικτυακό τόπο, οπότε οι επισκέπτες του αντίστοιχου καταλόγου εκτίθενται.
Το κενό ασφαλείας εντοπίζεται στο υποσύστημα Windows Graphics Rendering Engine και δίνει στον hacker αντίστοιχα δικαιώματα με εκείνα που έχει ο χρήστης. Επομένως, αν ο χρήστης έχει περιορισμένα δικαιώματα, ο επιτιθέμενος θα μπορεί να εκτελέσει κώδικα με τους περιορισμούς των αντίστοιχων δικαιωμάτων, καθιστώντας την επίθεση λιγότερο επικίνδυνη.
Η αδυναμία του συστήματος γραφικών επηρεάζει τα Windows XP Service Pack 3, XP Professional x64 Edition Service Pack 2, Server 2003 Service Pack 2, Server 2003 x64 Edition Service Pack 2, Server 2003 with SP2 for Itanium-based systems, Vista Service Pack 1 and Service Pack 2, Vista x64 Edition Service Pack 1 and Service Pack 2, Server 2008 for 32-bit, 64-bit, συστήματα με Itanium και το Service Pack 2 για το καθένα εξ αυτών.
Η Microsoft ανέφερε ότι δεν έχει εντοπίσει επιθέσεις που εκμεταλλεύονται την παραπάνω αδυναμία ή κάποιο πρόβλημα για τους πελάτες της, μέχρι στιγμής. Η εταιρεία εργάζεται για την επίλυση του προβλήματος, αλλά δεν έχει ορίσει χρονικά τη διάθεση της ενημέρωσης ασφαλείας.
Πηγή: CNET, www.adslgr.com
