Een beveiligingstool die hackers toegang geeft tot de Windows Vista kernel en een uur na verschijnen weer offline werd gehaald, blijkt een ongepatcht lek in de drivers van ATI te gebruiken. De tool, Purple Pill genaamd, gebruikt een driver die met een sleutel is getekend die bij meer dan 50% van de Vista gebruikers in gebruik is. Blacklisting is geen optie, omdat de machines dan niet meer geboot kunnen worden. Via Purple Pill kan een hacker ongetekende drivers binnen Vista laden, waardoor de nieuwe rootkit en DRM- beveiliging in het besturingssysteem wordt omzeild.

Ontwikkelaar Alex Ionescu haalde de tool offline omdat hij zich pas na publicatie realiseerde dat het lek in atidsmxx.sys, versie 3.0.502.0, niet gepatcht was. Via het lek kan Ionescu's tool, die stage loopt bij Apple, de controle van de Vista kernel op getekende drivers uitschakelen. Dit betekent dat een rootkit via ATI's driver op het systeem gesmokkeld kan worden. Pas als het lek gepatcht is zal de onderzoeker zijn tool weer beschikbaar stellen. Verder zou hij niet door Apple of Microsoft onder druk zijn gezet om de software uit de lucht te halen.

Tijdens de zestig minuten dat de tool beschikbaar was, werd die ook gedownload door Symantec. Onderzoekers van het bedrijf ontdekten dat de ATI driver de schuldige was. "De ATI driver biedt de mogelijkheid om het kernelgeheugen te lezen en schrijven. Het is eigenlijk een bug of een feature. We weten niet waarom ze het gebruiken, maar omdat het getekend is en toegang tot het kernelgeheugen heeft, kan elke derde partij de driver gebruiken om hetzelfde te doen," zegt Eric Chien.

Zelfs als dit driver lek gepatcht wordt, blijft het probleem van buggy drivers van derde partijen bestaan. Ionescu stelt daarom voor dat Microsoft en driver ontwikkelaars nauwer samenwerken en beter testen voordat Microsoft de code goedkeurt.