Im Prevx Blog wird über eine als Zero-Day-Lücke und den Exploit dazu berichtet, die ähnliches Potential wie der bekannte Stuxnet-Fall hat.
Das Problem sitzt im Kernel, also der Datei win32k.sys, und man kann dadurch als gering privilegierter Benutzer seine Rechte auf Systemrechte erweitern. Die API im Kernel heißt NtGdiEnableEUDC und prüft einige Eingaben nicht sauber, so dass ein Überlauf erzeugt werden kann, bei dem die Rücksprungadresse vorher mit der Adresse der Schadfunktion überschrieben wird.
Die Windows-Versionen XP, Vista und 7 sind von dem Exploit betroffen. Jetzt ist es zwar kein Zero Day Exploit mehr, denn Microsoft weiß es ja inzwischen. Trotzdem ist zu erwarten, dass in Kürze Malware auftaucht, die diese Sicherheitslücke nutzt, bevor der Software-Riese aus Redmont einen Patch verbreitet. Der nächte geplante Patch Day von Microsoft ist der 14.12.2010.
