Microsoft Windows’dagi xavfli zaiflikni tuzatishdan bosh tortdi.
Muammo vCard formatini boshqarish bilan bog’liq va kodni joriy foydalanuvchi kontekstida bajarishga imkon beradi.
ZDI jamoasi tadqiqotchilari Windows tizimidagi zaiflik tafsilotlarini e’lon qilishdi, bu zaiflik ma’lum sharoitlarda joriy foydalanuvchi kontekstida kodni masofadan turib bajarishga imkon beradi. Muammo vCardlarni (elektron tashrif qog’ozlarini almashish uchun matnga asoslangan format) qayta ishlash bilan bog’liq bo’lib, u Microsoft Outlook tomonidan ham qo’llab-quvvatlanadi. Zaiflikni aniqlagan xavfsizlik bo’yicha tadqiqotchi Jon Peyjning so’zlariga ko’ra, muammodan maxsus yaratilgan vCard fayli yordamida foydalanish mumkin, bu esa Windowsning ogohlantirish ko’rsatmasdan xavfli giperhavolani ko’rsatishiga olib keladi.
Quyidagi videoda ko’rsatilganidek, agar jabrlanuvchi zararli havolani bossa, Windows brauzerda URL manzilini ochish o’rniga, bajariladigan faylni jimgina ishga tushiradi. Zaiflikdan foydalanish uchun tajovuzkor foydalanuvchini aldab, zararli sahifa yoki faylni ochishga majbur qilishi kerak bo’ladi. Page shuningdek, zaiflikdan foydalanish uchun kontseptsiyani isbotlovchi kodni nashr etdi.
Microsoft bu muammo haqida olti oydan ko’proq vaqt oldin xabardor qilingan edi, ammo hali ham yamoq chiqarmadi. Bundan tashqari, ZDI jamoasi bilan uzoq yozishmalardan so’ng, texnologiya giganti «Microsoft ushbu zaiflikni yamoqlamaslikka qaror qildi va biz bu ishni yopamiz», deb aytdi.
