4月20日消息，微軟星期四（4月17日）發布安全警告稱，其大多數版本的Windows存在一個安全漏洞。但是，微軟沒有許諾要修復這個安全漏洞，也沒有說它是否要修復這個安全漏洞和什么時候發布一個補丁。微軟在三個星期前還拒絕承認這個問題是一個安全漏洞。

微軟在安全公告中把這個安全漏洞歸類為提升權限的安全漏洞。利用這個安全漏洞能夠給攻擊者訪問被攻破的計算機的更大的權限。這個安全漏洞影響到Windows XP專業版SP2和所有版本的Windows Server 2003、Windows Vista和最新的Windows Server 2008。

微軟稱，雖然這個安全漏洞存在于Windows操作系統中，但是，攻擊者能夠通過在微軟Web服務器“互聯網信息服務”上運行的客戶Web應用程序來利用這個安全漏洞。通過SQL服務器也能夠利用這個安全漏洞。

nCircle網絡安全公司安全運營經理Andrew Storms說，Web應用程序以較低的權限運行。利用這個安全漏洞能夠把這個權限提升到本地系統賬戶的權限，離管理員權限不遠了。你能夠使用本地系統賬戶做很多事情。

阿根廷的一位研究人員和安全顧問Cesar Cerrudo幾個星期前說，他要在即將召開的一個會議上披露一個Windows安全漏洞。Cerrudo在3月末說，這個安全漏洞能夠繞過包括Windows Server 2008在內的最新版本的Windows操作系統的安全措施。

Cerrudo說，通過互聯網信息服務可以實施這個攻擊。通過在NetworkService（網絡服務）、LocalService（本地服務）和LocalSystem（本地系統）等不同的賬戶下運行Web應用程序能夠緩解這個風險。

微軟安全反應中心發言人Bill Sick當時說，Cerrudo披露的信息是一個軟件設計瑕疵，不是真正的安全漏洞。他還不重視這個安全漏洞，說Cerrudo的演示沒有說明攻擊者能夠獲得訪問這些可信賴的賬戶的方法。

Cerrudo在阿聯酋迪拜舉行的“HITBSecConf2008”會議上演示了這個安全漏洞之后，微軟承認了這個安全漏洞并且向用戶發布了安全警告。