El fallo de seguridad se encuentra en el elemento Canonical Display Driver de Windows, que combina la interfaz gráfica principal del sistema operativo, denominada Graphics Device Interface (GDI), y DirectX para componer el desktop.

Según Jerry Bryant, director de grupo de Microsoft Security Response Center (MSRC), la vulnerabilidad afecta a cualquier máquina con la interfaz “Aero”. Esta interfaz se encuentra por defecto en todas las ediciones más económicas de Windows 7 y es opcional en Windows Server 2008 R2.

“De ser explotada, la vulnerabilidad probablemente causaría que el sistema afectado dejara de responder y se reiniciara”, explica Bryant en una entrada del blog de MSRC. “La ejecución de código, aunque teóricamente posible, es difícil dado la distribución al azar de la memoria, tanto en la memoria kernel como vía Address Space Layout Randomization (ASLR).

Microsoft ha atribuido a este fallo un índice de explotabilidad de “3”, el más bajo dentro del sistema de valoración que utiliza para dar una idea de la probabilidad de que aparezca el código de ataque para cada brecha en un período de 30 días.

“Estamos ya desarrollando una actualización para Windows que resolverá el problema”, asegura Bryant, quien no obstante, no ha dicho cuándo podría estar disponible el parche.

Para tener éxito, los atacantes deberían, en cualquier caso, conseguir que la víctima visitara un sitio malicioso que hospedara un archivo de imagen manipulado.