Sikkerhetshullene som nå er funnet finnes i alle versjoner av Windows NT, 2000, XP og 2003 Server. Hullene kan utnyttes av ondsinnede til å kompromittere et sårbart system.
Hullene er blitt identifisert av eEye Digital Security og offentliggjort i forbindelse med Microsofts faste, månedlige sikkerhetsoppdatering.
Ifølge Secunia skyldes sårbarhetene feil i utregningen av bufferstørrelser i Microsoft ASN.1 Library (Abstract Syntax Notation One) under ASN.1 BER-dekoding (Basic Encoding Rules).
_logo.svg.png){kind=logo}
ASN.1 ble utviklet av Xerox og standardisert i 1984 som en metode for å beskrive nettverksdata- og protokoller.
Sårbarhetene kan utnytte via forskjellige sikkerhetstjenester, for eksempel Kerberos og NTLMv2 brukergodkjennelse, samt programvare som benytter sertifikater, til å sende korrupte ASN.1-data til tjenesten eller applikasjonen.
I verste fall muliggjør dette kjøring av vilkårlig kode med systemrettigheter på et sårbart system.
Sårbarhetene kan tettes ved hjelp av Microsofts Windows Update-tjeneste. Manuell installasjon kan gjøres ved å følge lenker oppgitt på denne siden.
Marc Maiffret i eEye Digital Security sier til BBC News at dette er blant de mest alvorlige Microsoft-sårbarhetene noen sinne. Han er oppgitt over at Microsoft har brukt mer enn 200 dager på å tette hullene.
Microsoft forklarer tiden som er blitt brukt med at ASN.1 er en svært gjennomgående teknologi i Windows, noe som skal ha krevd svært omfattende undersøkelser før man kunne finne lappesaker til hullene.
Microsoft anbefaler dog at alle installerer sikkerhetsfiksene så raskt som over hodet mulig.
