SPI Dynamics odkryło możliwość przepełnienia bufora w sterownikach USB. Błąd zostanie zaprezentowany na konferencji Black Hat Briefings, natomiast szczegóły nie zostaną na razie ujawnione. O sprawie nie poinformowano także Microsoftu.

Problemy dotyczące podłączanych na gorąco (tj. bez restartu systemu) urządzeń są bardzo często przeoczane w badaniach odporności systemu na atak. Tymczasem sterowniki sprzętu zwykle pisane są w pośpiechu albo optymalizuje się je do wydajnej - a nie bezpiecznej - pracy.

Zobacz również:

• Wyjaśniamy kluczowe różnice pomiędzy USB3 i USB4

Aby wykorzystać znaleziony przez SPI Dynamics błąd, należy dostać się do wrażliwej maszyny (problem dotyczy prawdopodobnie wszystkich 32-bitowych wersji Windows, włączając w to wersje 2000 i XP) i włożyć do gniazdka USB urządzenie z odpowiednio spreparowaną zawartością.

Dla uspokojenia warto jednak dodać, że kiedy włamywacz zdoła dotrzeć do interesującego go komputera, może z nim zrobić dużo więcej niż tylko exploitować sterownik magistrali USB.