En Google-sikkerhetsforsker Tavis Ormandy har oppdaget et sikkerhetsproblem i Windows Hjelpesenter, som er standardprogrammet som tilbys for å få tilgang til elektronisk dokumentasjon for Microsoft Windows.
Microsoft støtter tilgang til hjelpedokumenter direkte via nettadresser ved å installere en protokollhandler for ordningen "hcp", et typisk eksempel er gitt i Windows XP Command Line Reference og de fullstendige detaljene er dokumentert av ham her.
Dette problemet ble rapportert av ham til Microsoft den 5. juni 2010. Han fortsatte å gjøre det offentlig mindre enn fire dager senere, 9. juni 2010.
Offentliggjøring av detaljene i dette sikkerhetsproblemet og hvordan du kan utnytte det uten å gi Microsoft tid til å løse problemet, gjør nå store angrep mer sannsynlig og setter Windows XP-brukere i fare!
Brukere som kjører Windows Vista, Windows 7, Windows Server 2008 og Windows Server 2008 R2, er ikke sårbare for dette problemet, eller i fare for angrep.
En av hovedgrunnene til at vi og mange andre over hele bransjen fortaler for ansvarlig avsløring er at programvareleverandøren som skrev koden, er i den beste posisjonen for å fullt ut forstå grunnårsaken. Selv om dette var et godt funn av Google-forskeren, viser det seg at analysen er ufullstendig, og den faktiske løsningen Google foreslo, er lett omgått. I noen tilfeller er det nødvendig med mer tid for en omfattende oppdatering som ikke kan omgå, og forårsaker ikke kvalitetsproblemer, sier Microsoft.
Det er uheldig, nei uansvarlig at sikkerhetsforskeren bestemte seg for å bli offentlig uten å gi Microsoft tid til å lappe den opp; Derved utsetter en rekke Windows-brukere for dette sikkerhetsproblemet!
OPPDATER: Microsoft har gitt ut en FixIt for å løse dette problemet.
