Win32k

Die Schwachstelle steckt in win32k.sys, einem im Kernel-Modus laufenden Treiber von Microsoft Windows, der für grafische Funktionen zuständig ist. Konkret betroffen ist die Funktion EPATHOBJ::pprFlattenRec, die einen Zeiger auf das nächste Objekt einer internen Liste nicht ordnungsgemäß initialisiert. Ein lokaler Angreifer – also jemand, der bereits über einen Zugang zum System verfügt – kann diesen Fehler ausnutzen, indem er gezielt sehr viel Speicher belegt und anschließend zahlreiche Aufrufe der Pfad-Verarbeitung auslöst. Dadurch erhält er Schreibzugriff auf eine verkettete Datenstruktur im Kernel und kann darüber seine eigenen Rechte ausweiten. Im Ergebnis verschafft sich der Angreifer höhere Systemrechte, als ihm zustehen, und kann so die Kontrolle über das betroffene Gerät erlangen. Weil der Defekt im Kernel-Treiber sitzt, betrifft eine erfolgreiche Ausnutzung den zentralen, besonders schützenswerten Bereich des Betriebssystems.