Som ventet publiserte Microsoft i går kveld kun én sikkerhetsfiks. Denne gjelder alle utgaver av Windows 2000 med Service Pack 3 eller 4 installert, men ikke andre utgaver av Windows. Sårbarheten har vært offentlig kjent siden midten av april.
Ifølge Secunia, skyldes sårbarheten en valideringsfeil ved håndteringen av inndata i "Web View"-biblioteket (webvw.dll), hvor visse metadata for filer ikke filtreres korrekt før de benyttes. Dette kan utnyttes til å kjøre vilkårlig HTML- og skriptkode i lokal kontekst med økte rettigheter, ved for eksempel å lokke brukeren til å velge et ondsinnet Word-dokument med et spesielt utformet forfatternavn, i Windows Explorer. Dette kan i verste fall gjøre det mulig for ondsinnede å kjøre vilkårlig kode.
Sikkerhetsfiksen er tilgjengelig på denne siden.
Mer informasjon om sårbarheten finnes her (Microsoft) og her, hos Greymagic, som oppdaget den.
