Windows

Die Schwachstelle betrifft Microsoft COM für Windows, die Komponentenarchitektur des Betriebssystems, über die Programme Objekte austauschen und miteinander kommunizieren. Der Fehler liegt darin, dass serialisierte Objekte – also in eine übertragbare Form gebrachte Daten – beim Wiedereinlesen nicht korrekt behandelt werden. Verarbeitet die Komponente solche Daten aus einer nicht vertrauenswürdigen Quelle, lässt sich dieser Deserialisierungsfehler missbrauchen: Ein Angreifer bringt das Opfer dazu, eine eigens präparierte Datei oder ein präpariertes Skript zu verarbeiten, und kann dadurch eigenen Code zur Ausführung bringen sowie sich höhere Berechtigungen verschaffen. Im Ergebnis erlangt er Kontrolle über das betroffene System. Betroffen ist eine breite Palette von Windows-Versionen, sowohl Client- als auch Server-Ausgaben, da COM eine grundlegende und überall vorhandene Systemkomponente ist.