Microsoft advarer nu mod et åbent sikkerhedshul i lidt ældre versioner af Windows. Hullet kan udnyttes til at plante malware på computeren uden at brugeren kan gøre ret meget for at forhindre det, og der findes indtil videre ikke nogen patch som lukker hullet.
Ifølge softwarefirmaets blog og denne Security Advisory ligger sårbarheden i Windows Graphics Rendering Engine under Vista, Windows Server 2003 og Windows XP. Hullet findes angiveligt ikke i Windows 7 eller Windows Server 2008 R2.
For at udnytte sårbarheden skal angriberen lokke sit offer til at besøge en webside med indlejret malware-kode eller åbne en manipuleret Word- eller PowerPoint-fil.
Herefter har angriberen fuld adgang til systemet og kan installere og fjerne programmer, kopiere data og oprette nye brugerkonti.
Microsoft fortæller at man ikke har kendskab til aktive angreb som udnytter sikkerhedshullet. Det er uklart hvornår der kommer en sikkerhedsopdatering som fjerner problemet. Den næste regulære patch-dag er den 11. januar.
Hvis patchen ikke er færdig inden denne dag, kan der gå endnu en måned inden sårbarheden bliver fikset.
I mellemtiden kan man minimere risikoen ved at begrænse adgangsrettighederne til shimgvw.dll, men det fører til at forhåndsvisningen af billeder ikke længere fungerer korrekt.
