پژوهشگر پروژهی صفر گوگل، تاویس اورماندی، اعلام کرد که یک آسیبپذیری اجرای کد در ویرایشگر متن نتپد کشف کرده است. اورماندی بیان میکند که یافتههای خود را به مایکروسافت گزارش داده است و طبق سیاست افشای آسیبپذیری پروژهی صفر گوگل، ۹۰ روز به این شرکت فرصت داده شده تا این آسیبپذیری را وصله کند.
جزئیات این حفرهی امنیتی پس از ۹۰ روز و درصورت ارائهی وصله توسط مایکروسافت احتمالاً زودتر افشا خواهد شد. این پژوهشگر تنها اعلام کرده است که این آسیبپذیری یک آسیبپذیری خرابی حافظه است و یک اسکرینشات ارسال کرده که نشان میدهد چگونه موفق به کشف آن شده است. این اسکرین شات ظاهراً نشان میدهد که این آسیبپذیری برای راهاندازی یک Command Prompt ویندوز مورد بهرهبرداری قرار گرفته است.
برخیها دربارهی اینکه چگونه ممکن است این آسیبپذیری مورد بهرهبرداری قرار گیرد، گمانهزنی میکنند، اما اورماندی هیچ اطلاعاتی در رابطه با این موضوع منتشر نکرده است. بااینحال، وی تصریح کرد که یک بهرهبرداری واقعی برای آن توسعه داده است. بنیانگذار شرکت Zerodium در توییتر نشان داد که این تنها آسیبپذیری تخریب حافظهای نیست که میتواند برای «pwn» برنامهی نتپد استفاده شود.
اورماندی در سالهای گذشته نیز آسیبپذیریهای بسیاری را در نرمافزارهای محبوب ازجمله Malware Protection Engine مایکروسافت، uTorrent، Grammarly، Keeper، Ghostscript، LastPass، آنتیویروس کسپرسکی و WebEx سیسکو کشف کرده است.