Как указывает в своём блоге на ZDNet Ryan Naraine, Microsoft была извещена о наличии уязвимости при обработке файлов анимированных курсоров (.ANI) в декабре прошлого года всё тем же Александром Сотировым из Determina. 7 января этого года Microsoft зарезервировала соответствующий бюллетень CVE-2007-0038 для того. чтобы ссылаться на него в будущей заплатке. Тем не менее, выпустив уже 16 патчей в текущем году, именно эта опаснейшая (как следует из её описания) уязвимость так и оставалась открытой. Один из представителей из Редмонда подтвердил, что Determina сообщила Microsoft об уязвимости, однако о причинах подобной "медлительности" Microsoft начал долго и нудно рассказывать о том, как это трудно выпускать патчи и заниматься безопасностью. Хотелось бы заметить, что, пока M$ соизволила таки вчера экстренно выпустить внеплановый патч, двумя независимыми компаниями (одна из которых - известная eEye Digital Security) выпустили сторонний патч для устранения уязвимости. Microsoft пыталась оправдываться, что для проведения атаки необходимы некоторые аспекты социальной инженерии (например, вынудить пользователя прочитать почту), однако, учитывая квалификацию и "обезянье любопытство" большинства пользователей "ОС для домохозяек" можно предположить в скором времени появлении очередной пачки заражённых компьютеров. Как указывают специалисты из Determina, эксплоит для уязвимости довольно тривиален.
Подробности в блоге