Les développeurs de Microsoft du Security Response Center ont publié un billet décrivant la découverte d’une nouvelle faille. Cette dernière, touchant le sous-système d’exécution client/serveur, a permis un « proof of concept », c’est-à-dire qu’une exploitation de la faille a été possible, sans conséquence pour le moment.

La faille touche les systèmes suivants :

• Windows 2000 Service Pack 4
• Windows XP Service Pack 2
• Windows Server 2003 Service Pack 1
• Vista

Microsoft prévient de l’existence de la faille, mais n’a pas encore proposé de statut. Elle n'est vraisemblablement pas critique, car elle ne peut pas donner naissance à une attaque automatisée de type ver. L’exploitation de la faille n’est en effet pas immédiate, car il faut être connecté et authentifié sur la machine ciblée, diminuant ainsi le risque d’une cascade d’exécutions de code arbitraires à distance.

Microsoft annonce également que la faille ne connaît encore aucune exploitation publique. La faille sera traitée de manière classique : elle fera l’objet d’une mise à jour dont les informations seront publiées dans un patch. Concernant Vista, on ne sait pas encore si l’éditeur de Redmond prévoit d’inclure son nouveau système dans ses bulletins mensuels avant la sortie mondiale du 30 janvier. Toutefois, dans la mesure où les entreprises peuvent déjà acheter le système, cela devrait être le cas.