Google forskers offentliggjøring av Windows XP-feil, irsk Microsoft

En Google-sikkerhetsforsker Tavis Ormandy har oppdaget et sikkerhetsproblem i Windows Hjelpesenter, som er standardprogrammet for tilgang til elektronisk dokumentasjon for Microsoft Windows.

Microsoft støtter å få tilgang til hjelpedokumenter direkte via nettadresser ved å installere en protokollhåndterer for ordningen "hcp", et typisk eksempel er gitt i Windows XP Command Line Reference og de fullstendige detaljene er dokumentert av ham her.

Dette problemet ble rapportert av ham til Microsoft den 5. juni 2010. Han fortsatte å gjøre den offentlig mindre enn fire dager senere, 9. juni 2010.

Offentliggjøring av e detaljer om dette sikkerhetsproblemet og hvordan du kan utnytte det, uten å gi Microsoft-tid til å løse problemet, gjør nå brede angrep mer sannsynlig og setter Windows XP-brukere i fare!

Brukere som kjører Windows Vista, Windows 7, Windows Server 2008 og Windows Server 2008 R2, er ikke utsatt for dette problemet eller i fare for angrep.

En av hovedgrunnene til at vi og mange andre i bransjen fortaler for ansvarlig avsløring er at programvareleverandøren som skrev koden, er i beste posisjon for å fullt ut forstå grunnårsaken. Selv om dette var et godt funn av Google-forskeren, viser det seg at analysen er ufullstendig, og den faktiske løsningen Google foreslo, er lett omgått. I noen tilfeller er det nødvendig med mer tid for en omfattende oppdatering som ikke kan omgåes, og forårsaker ikke kvalitetsproblemer, sier Microsoft.

Det er uheldig, ikke uansvarlig at sikkerhetsforskeren bestemte seg for å bli offentlig uten å gi Microsoft tid til å la opp det

Kunder kan følge veiledningen i Security Advisory 2219475 for å beskytte mot dette problemet.

UPDATE: Microsoft har gitt ut en FixIt-løsning for å løse dette problemet.