A Google egyik biztonsági kutatója a héten nyilvánosságra hozta azt, hogy miként lehet szinte bármelyik modern Windows-os gépet - ironikus módon - annak titkosítási könyvtárán keresztül megtámadni. A hasonló eseteiről már hírhedt Tavis Ormandy a hibát állítólag már márciusban bejelentette a Microsoft-nak és 90 napot adott neki a javításra - ez a határidő viszont most lejárt, ezért nyilvánosságra hozta a sérülékenység részleteit.
Ormandy ugyanakkor "jó" szokását megtartva mindjárt kész támadókódot is mellékelt a hibabejegyzéshez, hogy a hackereknek még véletlenül se kelljen utóbbi kikísérletezésével maguknak is bajlódniuk. A szóban forgó "támadókód" egyébként ezúttal egy speciálisan összeállított ún. X.509 formátumú tanúsítvány formájában érkezik, ami a hiba miatt teljesen megbénítja azon windows-os gépek - elsősorban szerverek - működését, amiknek sikerült azt elküldeni és megpróbálják azt értelmezni.
A sebezhetőséget a kutató annak ellenére leplezte le, hogy elismeri: a Microsoft közölte vele, hogy a folt már készen van, csak tesztelik, és jövő hónapban fogják minden Windows számára elérhetővé tenni. Ormandy szerint azonban az - egyébként nyilván önkényesen megállapított - határidő határidő, és mivel lejárt, ő kvázi kénytelen volt a részleteket nyilvánosságra hozni.
Az egyetlen jó hír, hogy az asztali Windows-ok legtöbbjét a sebezhetőségen keresztül közvetlenül nem lehet megtámadni - bár azt maga a kutató is elismeri, hogy ha egyszer sikerül mondjuk egy Windows vállalati hálózatba bejuttatni, onnantól kezdve a probléma az egész céges Windows infrastruktúrát képes lehet megbénítani.
