Mark Dowd van IBM Internet Security Systems (ISS) en Alexander Sotirov van VMware hebben een lek ontdekt in Windows Vista dat wellicht niet (eenvoudig) te dichten is door Microsoft.
Heel kort door de bocht komt het erop neer dat via een actieve web browser – dat hoeft niet perse IE te zijn – scripts (Java, ActiveX, .NET) kunnen worden geactiveerd die de ASLR-, DEP- en andere beveiligingen omzeilen. De basisbeveiliging van Vista wordt eigenlijk aangewend om Vista vanuit de kern te benaderen. Een hacker kan op elke plek in Windows Vista elk type document neerleggen, zonder gehinderd te worden door schrijf- en rechtenbeveiligingen.
Volgens de onderzoekers is de gevonden methode niet te dichten, zoals dat nu met gevonden lekken gebeurt. "This stuff just takes a knife to a large part of the security mesh Microsoft built into Vista," aldus hack-expert Dai Zovi.
Microsoft moet de gevonden methode nog onderzoeken en heeft dus nog niet gereageerd.
Lees ook:Vista hacken? Koop het gewoon of blijf eraf!
Lees ook:Microsoft Vista SP1 binnen 3 weken
Lees ook:Vista volgens Neelie Kroes
Lees ook:Opvolger Vista klaar voor Touch Screen
Lees ook:Windows 7, de opvolger van Vista, verschijnt half 2009