Der kan gå flere år før sikkerhedshuller bliver opdaget, men det er alligevel usædvanligt at finde en fejl der rækker intet mindre end 17 år tilbage. I denne artikel fortæller sikkerhedsforsker Tavis Ormandy fra Google om et problem i Microsofts Virtual DOS Machine, der går helt tilbage til Windows NT 3.1 fra 1993.
Så der er tale om rigtig gamle sager. Tavis Ormandy fortæller at hullet kan udnyttes til at smugle kode ind i systemets kernel.
”Teoretisk set kan du skrive til hukommelses-segmenter der normalt opfattes som meget beskyttede og følsomme. For eksempel kan malware installere en keylogger,” kommenterer sikkerhedsekspert Tom Parker fra Securicon overfor The Register.
Der er mange af den slags sårbarheder, men det er alligevel noget særligt at finde en fejl, som findes i alle 32-bit versioner af Microsofts operativsystemer siden 1993 – og der er fungerende proof-of-concept kode til XP, Server 2003, Vista og selv Windows 7.
Der findes ikke en patch, men hullet kan lukkes ved at deaktivere MSDOS og WOWEXEC subsystemerne, som alligevel kun bruges til sjældne 16-bit programmer.
