The power of vulnerability | Brené Brown
Problemet är rotat i Device IO Control, som hanterar intern enhetskommunikation. Forskare på Phion har hittat två olika sätt att orsaka ett bufferflöde som kan korrumpera minnet av operativsystemets kärna.
I en av scenarierna skulle en person redan ha administrativa rättigheter till datorn. Generellt är sårbarheter som kräver åtkomstnivå något som undergräver risken eftersom angriparen redan har behörighet att använda till datorn.
[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]
Men det kan vara möjligt för att utlösa buffertöverflödet utan administrativa rättigheter, säger Thomas Unterleitner, Phions direktör för slutpunkts säkerhetsprogram.Sårbarheten kan göra det möjligt för en hackare att installera en rootkit, en liten bit av skadlig programvara som är mycket svår att upptäcka och ta bort från en dator, sade Unterleitner.
Phion meddelade Microsoft om problemet den 22 oktober. Microsoft angav Phion att det skulle utfärda en patch med Vista nästa service pack. Microsoft släppte en beta-version av Vista andra service pack till testare förra månaden. Vista Service Pack 2 beror på utgåva senast i juni 2009.
Unterleitner sa att det har varit mycket intresse för sårbarheten. "Vi har mottagit förfrågningar om detaljerad information om hur man utnyttjar detta utnyttjande från hela världen," sa han.
Microsoft-tjänstemän som kontaktades i London hade inte omedelbar kommentar.
Forskare hitta ett nytt sätt att attackera molnet
Forskare har utvecklat nya sidokanalattacker som kan användas för att stjäla data från molnet -computing-program.
För tidigt avslöjande av en Windows-sårbarhet för några månader sedan ledde det till en förnyad debatt på etikens sårbarhetsinformation. Microsoft vill flytta kulturen av sårbarhet och säkerhetsforskning från "ansvarsfullt avslöjande" till "samordnat sårbarhetsinformation".
Med Microsoft-tillvägagångssättet samarbetar säkerhetsforskare och programvaruleverantörer för att utveckla lösningar - förhoppningsvis innan sårbarheten upptäcks av angripare av börjar att utnyttjas aktivt. Endast i händelse av aktiva attacker bör information om sårbarheten delas med allmänheten, och även då bör upplysningen samordnas på ett ansvarsfullt sätt.
Forskare: Sårbarhet i flygsystem möjliggör fjärrflygning av flygplan
Bristen på säkerhet i kommunikationsteknik som används inom flygindustrin gör det möjligt att fjärrera utnyttja sårbarheter i kritiska inbyggda system och attackflygplan under flygning, enligt forskning som presenterades onsdagen vid Hack in Box-säkerhetskonferensen i Amsterdam.