Windows

Die Schwachstelle steckt im Kernel von Microsoft Windows und betrifft die Verarbeitung von 16-Bit-Anwendungen auf 32-Bit-x86-Systemen. Ist die Unterstützung für solche Altanwendungen aktiviert, prüft der Kernel bestimmte BIOS-Aufrufe nicht korrekt. Ein Angreifer, der sich bereits lokal am System angemeldet hat, kann dies ausnutzen, indem er im Thread Environment Block eine präparierte VDM_TIB-Datenstruktur ablegt und anschließend über die Funktion NtVdmControl das Subsystem für die virtuelle DOS-Maschine (NTVDM) startet. Dabei kommt es im zuständigen Trap-Handler des Kernels zu einer fehlerhaft behandelten Ausnahme. In der Folge kann der Angreifer seine Rechte ausweiten und höhere Berechtigungen erlangen, als ihm zustehen – bis hin zur vollständigen Kontrolle über das System. Betroffen sind die genannten Windows-Versionen, sobald die 16-Bit-Unterstützung auf einer 32-Bit-x86-Plattform eingeschaltet ist.