یک پژوهشگر امنیتی، جزئیات و کد اثبات مفهومی (PoC) یک آسیب‌پذیری رفع‌نشده ویندوز را منتشر کرده است که بر نحوه مدیریت فایل‌های (vCard (VCF در ویندوز تاثیر می‌گذارد.
مایکروسافت هنوز آسیب‌پذیری VCF را رفع نکرده است، در حالی که مایکروسافت در ماه اکتبر اعلام کرده بود که آسیب‌پذیری VCF در وصله امنیتی این ماه رفع‌ خواهد شد، نظر خود را تغییر داد و در نسخه ویندوزv.Next آن را برطرف خواهد کرد. ویندوز v.Next اسم رمز نسخه اصلی بعدی سیستم‌عامل ویندوز است که در حال حاضر با ۱۹H۱ شناخته می‌شود و برای آوریل ۲۰۱۹ برنامه‌ریزی شده است.


پس از عرضه بروزرسانی مایکروسافت، پژوهشگر امنیتی ذکر شده و پشتیبان‌هایZDI توصیه‌های امنیتی در مورد این آسیب‌پذیری را برای استفاده کاربران و شرکت‌ها منتشر کردند، تا آن‌ها اقدامات لازم را انجام داده و هشدارهای امنیتی داخلی لازم را تا زمان انتشار وصله جدید در بهار، را در نظر بگیرند.


بر اساس هر دو سری توصیه‌ها، این آسیب‌پذیری نحوه پردازش فایل‌های (vCard (VCF ویندوز را تحت‌تاثیر قرار می‌دهد. مهاجم می‌تواند یک فایل VCF مخرب ایجاد کند که در ظاهر به لینک مطلوب کاربر اشاره می-کند و هنگام کلیک کاربر می‌تواند باعث اجرای کد مخرب مهاجم به جای مشاهده لینک شود.


نکته مثبت این آسیب‌پذیری این است که این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور شود، اما از راه دور قابل بهره برداری نیست، زیرا در ابتدا نیاز به تعامل کاربر برای فعال‌سازی دارد. همچنین این آسیب-پذیری می‌تواند برای کمپین‌های توزیع بدافزار گسترده مورد استفاده قرار گیرد. کدPoC منتشرشده بیانگر نیاز به حضور یک فایل مخرب ثانویه در سیستم است، اما این فایل می‌تواند به آسانی از دید قربانی توسط مهاجم پنهان شود. باز نکردن فایل‌های دریافت‌شده از منابع نامشخص در اینترنت، راهی برای مقابله با این نوع آسیب‌پذیری است.