Een nieuw beveiligingsprobleem kan oudere Windows-besturingssystemen in gevaar brengen
Microsoft is maandag op de hoogte gebracht van een beveiligingsfout in oudere versies van Windows die, indien gebruikt, hackers toestaat om schadelijke code op nietsvermoedende computers uit te voeren. Het beveiligingslek wordt veroorzaakt 'vanwege een grensfout in de "UpdateFrameTitleForDocument ()" -functie van de CFrameWnd-klasse in mfc42.dll.
Volgens Secunia kan een computer door hackers worden uitgebuit door een te lang argument voor de argumentatie van de titel door te geven aan de bewerkte functie, waardoor er een stack-gebaseerde bufferoverloop ontstaat.
Getroffen besturingssystemen die door Secunia zijn bevestigd, zijn Windows 2000 Professional SP4 met inbegrip van mfc42.dll versie 6.0.9586.0 en Windows XP SP2 / SP3 die mfc42.dll versie 6.2.4131.0 bevatten. Ze hebben ook vastgesteld dat andere versies mogelijk ook worden beïnvloed. Momenteel bekend om geldige aanvalsvectoren te presenteren is PowerZip versie 7.2 Build 4010 (wanneer bijvoorbeeld een te lange map in een geopend archief wordt ingevoerd
Microsoft heeft aangekondigd via het Microsoft Security Response Team Twitter bericht dat zij op de hoogte zijn gebracht van de kwetsbaarheid en onderzoeken nu het probleem.
Totdat Microsoft hiervoor een oplossing biedt, is de aanbevolen oplossing van Secunia het beperken van de toegang tot applicaties waardoor door de gebruiker gecontroleerde invoer kan worden doorgegeven aan het beveiligingslek.