A Google Project Zero csapata a hétvégén egy újabb, a Windows-okban felfedezett sebezhetőség részleteit hozta nyilvánosságra - megint az előtt, hogy a Microsoftnak egyáltalán esélye lett volna javítani azt. A veszélyes hibán át hackerek a redmondi rendszert futtató gépek feletti ellenőrzést is átvehetik - a Google pedig még egy működő támadókódot is kiadott a sebezhetőséghez, amivel szinte bárki kihasználhatja azt.

A hiba egyébként a Windows-ok beépített kriptográfiai meghajtóprogramjában (cng.sys) bújik meg, aminek szolgáltatásait gyakorlatilag bármelyik alkalmazás felhasználhatja tetszőleges adatok titkosítására, vagy éppen a titkosított adatok visszafejtésére. A problémát többek között éppen az képezi, hogy a hibás meghajtót bármely program elérheti - így az abban most azonosított túlcsordulási hibát kihasználva, a legmagasabb, helyi rendszer jogosultságaival kezdhet el tetszőleges műveleteket végezni a gépen.

Bár maga a szóban forgó sebezhetőség csak helyileg használható ki, másik hibákkal kombinálva már lehetőséget adhat a hackerek számára gépek akár interneten keresztüli megtámadására is. A Google szerint pedig pontosan ez történik jelenleg is, ti. egy, a Chromium böngészőmotorban azonosított másik sebezhetőséggel összeláncolva hackerek már aktívan támadják a Windows-t futtató gépeket.

Utóbbiak tulajdonosai ráadásul sajnos egyelőre nem tudnak védekezni ez ellen, mivel a hibára egyelőre nincs javítás. A Google a felfedezésről ugyanis csak alig egy hete értesítette a Microsoftot, ami a várakozások szerint legkorábban egy hét múlva, a jövő keddi szokásos foltnapon adhat majd ki javítást a problémára.