Den nyupptäckta buggen ska enligt säkerhetsforskare ligga i Windows kärna, något som gör det möjligt för hackare att ta kontroll över en dator genom att kringå det inbyggda säkerhetsskyddet, UAC (User Account Control).

Ett säkerhetsföretag har kallat buggen för en potentiell mardröm, men Microsoft har tonat ned riskerna med problemet. Enligt Microsoft så krävs det att hackare har tillgång till ett annat säkerhetshål för att den aktuella buggen ska kunna utnyttjas.

Användaren märker inget
Detaljer kring buggen avslöjades i onsdags förra veckan, och enligt de kodexempel som visats upp ska det gå att installera skadlig kod i Windows utan att användaren märker det.

– Microsoft känner till information som publicerats kring en eventuell bugg i Windows kärna. Vi kommer att undersöka saken och när vi är klara ta vi itu med det, säger Jerry Bryant, chef på Microsoft Security Response Center till IDG News.

Buggen ligger i en fil som heter ”win32k.sys”, vilken är en del av kärnan i Windows. Problemet ska enligt säkerhetsföretaget Sophos drabba samtliga versioner av Windows från Windows XP till Windows 7.

Säkerhetsexperter håller med Microsoft om att buggen inte kan användas för att köra skadlig kod på en dator direkt från internet. För att buggen ska kunna utnyttjas krävs det att hackaren har lokal tillgång till datorn, alternativt rättigheter att köra lokal kod på en dator.

– På egen hand kan den här buggen inte ta kontroll över en användares dator. Den gör det dock möjligt att köra kod med administratörsrättigheter även på ett användarkonto som inte har dessa rättigheter, säger Chet Wisniewski på säkerhetsföretaget Sophos.

"Kan bli en mardröm"
Enligt säkerhetsföretaget Prevx, som rapporterade problemet till Microsoft, finns det fortfarande en risk med buggen. Enligt Prevx kan den nyupptäckta buggen användas tillsammans med andra säkerhetshål för att få kontroll över en dator.

– Den här buggen kan bli en mardröm och vi förbereder oss på att få se attacker som utnyttjar säkerhetshålet inom kort. Det här är ett tillfälle som hackare inte kommer att gå miste om, säger Marco Giuliani på Prevx.

IDG News