Google安全人員曝光暗藏17年的Windows漏洞

　　根據Google信息安全工程師Tavis Ormandy公布的報告，從1993年7月27日Windows NT 3.1發布以來，所有32位Windows系統都存在一個權限提升安全漏洞。微軟也在今日發布的安全公告KB979682中確認了此事，不過表示包括Windows Server 2008 R2在內的64位Windows核心版本不受此漏洞影響。

　　微軟在公告中指出，這個存在於Windows核心中的漏洞會引發權限提升，不過目前還沒有發現有用戶受此漏洞影響。受此權限提升漏洞影響的系統包括：Windows 2000 SP4、Windows XP SP2/SP3、Windows Server 2003 SP2、Windows Vista、Windows Vista SP1/SP2、32位Windows Server 2008、32位Windows Server 2008 SP2、32位Windows 7。

　　值得慶幸的是，這個漏洞存在於一個並不常用的應用程序中，而是存在於用來支持16位應用程序的虛擬Dos機(VDM)中。未具權限的16位程序可以操縱各進程的內核堆棧，可能會導致攻擊者以較高權限執行代碼，黑客可以以系統最高權限打開命令提示符。

　　Google信息安全工程師Tavis Ormandy表示，2009年6月12日他將此漏洞報告給了微軟，十天後微軟表示收到了報告，但是直到今日也沒有解決該問題。盡管微軟沒有發布相關補丁，Ormandy還是決定將此公布出來，他認為解決這個問題十分簡單：禁用MS-DOS系統就可以了。