セキュリティ研究者のTavis Ormandy氏が19日(米国時間)に、1993年7月にWindows NT 3.1が登場してから16年以上の間にリリースされた複数のWindows製品のカーネルに潜むバグを報告した。

これはMS-DOSおよび16bitアプリケーションをサポートするためのWindows Virtual DOS Machine (NTVDM)に存在する脆弱性で、Ormandy氏によると1993年7月27日以降にリリースされたWindows NTの全ての32bit x86バージョンに含まれる。悪用されれば、第三者によるプログラムのインストール、データ削除、管理者権限アカウントの作成などが可能になるという。

Microsoftは20日(同)に、この脆弱性に関するセキュリティアドバイザリ(979682)を公開した。現在サポート対象のWindows製品で影響を受ける可能性があるのは以下の通り。

  • Windows 2000 Service Pack 4
  • Windows XP Service Pack 2/ Service Pack 3
  • Windows Server 2003 Service Pack 2
  • Windows Vista、Windows Vista Service Pack 1/ Service Pack 2
  • Windows Server 2008(32bit)、Windows Server 2008(32bit) Service Pack 2
  • Windows 7(32bit)

21日(同)時点でパッチはリリースされていないが、グループポリシー・コンソールで「16bitアプリケーションへのアクセスを拒否」を有効にし、NTVDMを無効化することで被害を回避できる。