Lỗi nằm trong nhân HĐH Windows, khiến nhân phân tích sai các font Embedded OpenType (EOT). EOT là những font được thiết kế để sử dụng trong các trang web và cũng được dùng trong các tài liệu Microsoft Word, PowerPoint. Microsoft đánh giá lỗi này có mức nguy hiểm “nghiêm trọng” và dự đoán, mã khai thác lỗi sẽ xuất hiện trong vòng 30 ngày tới.

Các nhà nghiên cứu bảo mật bên ngoài công ty (như Jason Miller của Shavlik Technologies, HD Moore của Rapid7) thì cho rằng, mã khai thác lỗi sẽ xuất hiện sớm hơn.

Theo ông Moore, lỗi có thể khai thác bằng kiểu tấn công "drive-by" để âm thầm chiếm đoạt hệ thống cài Windows 2000 hay Windows XP (nhưng chưa chạy miếng vá MS09-065) khi hệ thống ghé thăm trang web “độc”. Nếu hệ thống cài Windows Vista, nếu khai thác thành công thì tin tặc còn có thể truy cập vào máy (nhưng không thể dùng để lây nhiễm malware được).

Các HĐH Windows 7, Windows Server 2008 R2 không “dính” lỗ hổng EOT nhưng Windows 7 RC thì có thể dính. Người dùng có thể tải MS09-065 về và cài đặt thông qua Microsoft Update, Windows Update hay Windows Server Update Services.

(Theo PcWorld)