Veel populaire Windows programma's, waaronder die van Microsoft zelf, maken geen volledig gebruik van de beveiligingsmaatregelen die het besturingssysteem biedt. Het gaat dan om DEP (Data Execution Prevention) en ASLR (Address Space Layout Randomization) die in veel gevallen niet goed zijn geïmplementeerd, waardoor gebruikers risico lopen. Deze maatregelen moeten Windows namelijk extra bescherming bieden.

DEP, dat in 2004 via Service Pack 2 aan Windows XP werd toegevoegd, zorgt ervoor dat code die hackers in bepaalde geheugenlocaties plaatsen niet wordt uitgevoerd. ASLR zit sinds Vista in Windows verwerkt en maakt het lastiger voor aanvallers om een vaste geheugenlocatie te bepalen, aangezien die steeds wordt gewisseld.

De ontwikkelaar van verschillende softwareprojecten besloot te onderzoeken hoe door miljoenen mensen gebruikte programma's deze beveiligingsmaatregelen implementeren. Java, Google Chrome, Adobe Reader, Foxit Reader, Firefox, Internet Explorer 9, VMWare Workstation, 7-Zip, putty, Cygwin, TortoiseSVN, Spotify en Dropbox werden allemaal gecontroleerd op de gebruikte DEP- en ASLR-implementatie.

Beveiliging
Verrassend genoeg blijkt dat alleen Java ASLR en DEP voor alles heeft ingeschakeld. Zelfs bij Internet Explorer 9 zijn niet alle bestanden door deze twee beveiligingsmaatregelen beschermd. "Zelfs de meest gebruikte Windows-apps met een groot aantal gebruikers zijn nog steeds verschrikkelijk slecht in het gebruiken van zelfs de meest basale beveiligingsmaatregelen", concludeert de onderzoeker.

Hij houdt echter ook een slag om de hand. "Ik moet nog steeds controleren hoe belangrijk het is dat sommige van deze bestanden niet over DEP-bescherming beschikken." Windows-gebruikers die zich willen beschermen kunnen Microsoft EMET gebruiken, dat deze beveiliging ook voor applicaties die het niet gebruiken instelt.

In 2010 voerde het Deense beveiligingsbedrijf Secunia een soortgelijk onderzoek uit en kwam tot dezelfde conclusie.