Как сообщается на сайте технической поддержки Microsoft, проблема связана с подсистемой Client-Server Runtime Subsystem (CSRSS), отвечающей, в частности, за запуск и закрытие приложений. Воспользовавшись ошибкой двойного освобождения памяти при обработке сообщений HardError в библиотеке WINSRV.DLL, злоумышленник может повысить уровень собственных привилегий в операционной системе.
В корпорации Microsoft подтвердили факт появления в интернете вредоносного кода, эксплуатирующего уязвимость, подчеркнув при этом, что случаев его практического применения пока зафиксировано не было. Датская компания Secunia, специализирующаяся на вопросах компьютерной безопасности, охарактеризовала брешь малоопасной, поскольку атаку через нее может осуществить только локальный пользователь.
Аналогичная уязвимость также присутствует в операционных системах Windows 2000 с четвертым сервис-паком, Windows Server 2003 с первым пакетом обновлений и Windows ХР со вторым сервис-паком. Способов устранения дыры пока не существует.
Между тем, остается чуть больше месяца до официальной презентации версий операционной системы Windows Vista для домашних пользователей. Тем, кто купит компьютер с Windows ХР в предпраздничный сезон Microsoft предложит специальные купоны на последующее льготное обновление программной платформы до Windows Vista. Стоимость новой операционной системы Microsoft, в зависимости от модификации, составляет от 100 до 400 долларов США.