Een security onderzoeker heeft een buffer overflow lek in Windows XP en Windows 2003 Server ontdekt waardoor een aanvaller bij sommige applicaties een denial of service kan veroorzaken.

Het niet kritieke lek wordt veroorzaakt door een fout in inetcomm.dll tijdens het verwerken van URLs met de "mhtml:" URI handler. Dit kan tot een stack-based buffer overflow leiden als een aanvaller de gebruiker zover weet te krijgen om een kwaadaardige link of snelkoppeling te openen.

Is dit het geval dan zal de applicatie die de kwetsbare library gebruikt crashen. Het uitvoeren van willekeurige code, waardoor het lek een stuk ernstiger wordt, is nog niet bewezen omdat dit door het DEP (Data Execution Prevention) mechanisme voorkomen wordt. De kwetsbaarheid is aanwezig in een volledig gepatcht systeem met de laatste service packs.

Als oplossing wordt aangeraden om de "mhtml:" URI handler uit te schakelen, wat ten koste van de functionaliteit kan gaan.

Microsoft liet in een standaard antwoord weten dat het lek onderzocht wordt en dat afhankelijk van de uitkomst er een security bulletin of een patch zal verschijnen.