Автор открытия Тавис Орманди (Tavis Ormandy) обнаружил уязвимость в очень старом компоненте Windows, существующем во всех 32-битных версиях системы – это VDM (Virtual DOS Machine). С помощью механизма VDM непривилегированный пользователь может выполнять команды с самым высоким приоритетом. Теоретически, существует возможность записи собственных данных в самые защищенные сегменты оперативной памяти. На данный момент существует уже несколько примерных программ, демонстрирующих использование этой уязвимости.
Компания Microsoft пока не выпустила исправлений, направленных на устранение данной уязвимости. Пока лучшим способом обхода опасности является отключение подсистем MSDOS и WOWEXEC в скомпрометированных версиях Windows. В первую очередь, конечно, следует отключить сервис NTVDM, если в нем нет насущной необходимости. Чтобы обеспечить обход уязвимости стандартными средствами, нужно использовать шаблон политики «Windows Components\Application Compatibility\Prevent access to 16-bit applications» в редакторе групповых политик – это блокирует возможность запуска 16-битных приложений непривилегированными пользователями.
Орманди отмечает, что отправил Microsoft сообщение о найденной уязвимости еще в июне 2009 г., однако исправление так и не было выпущено. Сейчас компания Microsoft уже признала официально существование уязвимости, однако выход исправления до сих пор находится под вопросом. В то же время Microsoft сообщает, что пока неизвестно ни об одной реальной атаке с использованием описанной Орманди уязвимости.

//Софт@Mail.ru