Windows

Die Schwachstelle steckt in der Scripting Engine von Microsoft Windows – jener Komponente, die in Skriptsprachen verfasste Inhalte ausführt, wie sie etwa beim Aufruf von Webseiten verarbeitet werden. Es handelt sich um eine sogenannte Typenverwechslung (Type Confusion): Die Engine greift auf einen Speicherbereich mit einem Datentyp zu, der nicht zu dem tatsächlich dort abgelegten Inhalt passt. Diese Fehlinterpretation lässt sich gezielt missbrauchen. Ein Angreifer präpariert dazu eine speziell gestaltete URL; ruft das Opfer diese auf, bringt der manipulierte Inhalt die Engine dazu, untergeschobenen Code auszuführen. Der Angriff erfolgt über das Netzwerk und setzt keine vorherige Anmeldung am System voraus – die Ausführung von Fremdcode reicht aus, um die Kontrolle über den betroffenen Rechner zu erlangen. Betroffen sind Windows-Systeme, auf denen die anfällige Scripting Engine zum Einsatz kommt; der Angriffsweg über das Aufrufen einer Adresse macht die Lücke breit ausnutzbar.