Microsoft publiserte tirsdag en sikkerhetsoppdatering til nyere Windows-utgaver som tetter to sårbarheter i operativsystemene.
Den ene sårbarheten skyldes en ikke-kontrollert buffer i Graphics Rendering Engine ved visning av spesielt utformede bildefiler av typen Windows Metafile (WMF) og Enhanced Metafile (EMF). Dette kan ifølge Secunia utnyttes til å kjøre vilkårlig kode på en brukers system.
Den andre sårbarheten tilsvarer den første, men gjelder kun bildefiler av typen Windows Metafile (WMF).
De to sårbarhetene berører alle programmer som viser de berørte bildetypene og kan utnyttes ved for eksempel å lokke brukeren til å åpne en ondsinnet fil av de oppgitte typene, eller ved å åpne en mappe som inneholder bildefilen. Det skal også våre mulig å utnytte sårbarhetene gjennom Office-dokumenter, HTML-basert e-post i Outlook som inneholder en vedlagt bildefil, eller via et ondsinnet nettsted.
Ifølge Secunia skal sikkerhetsfiksen også tette en sårbarhet i forbindelse med EMF-formatet som skal kunne utnyttes til utsette Windows-brukere for tjenestenekt-tilstander. Denne sårbarheten, som ikke regnes som kritisk, ble varslet allerede i mars i år.
Microsoft har publisert mer informasjon om sårbarhetene og sikkerhetsoppdateringen på denne siden. Oppdateringen er også tilgjengelig via Microsoft Update eller Windows Update.