Google-tietoturva-tutkija Tavis Ormandy on havainnut haavoittuvuuden Windowsin ohjekeskuksessa, joka on Microsoft Windowsin verkko-oppaiden käyttämiseen tarkoitettu oletusohjelma.
Microsoft tukee ohjetiedostojen käyttämistä suoraan URL-osoitteiden kautta asentamalla protokollakäsittelijän "hcp" -ohjelmaan. Tyypillinen esimerkki on Windows XP: n komentorivin käyttöohjeessa. Tällöin hän on dokumentoitu täydelliset tiedot.
Tämä ongelma ilmestyi Microsoftille 5. kesäkuuta 2010. Hän jatkoi julkisuutta alle neljä päivää myöhemmin, 9. kesäkuuta 2010.
Tämän haavoittuvuuden yksityiskohtien julkinen julkistaminen ja sen hyödyntäminen antamatta Microsoftille aikaa ongelman ratkaisemiseksi tekee nyt laajoja hyökkäyksiä todennäköisemmin ja asettaa Windows XP -käyttäjille vaaran!
Windows Vistan, Windows 7: n, Windows Server 2008: n ja Windows Server 2008 R2: n käyttäjät eivät ole alttiita tästä ongelmasta tai hyökkäysvaarasta.
Yksi tärkeimmistä syistä, mistä me ja monet muut alan yritykset puolustavat vastuullista paljastamista, on se, että koodin kirjoittama ohjelmistotoimittaja on parhaimmassa asemassa ymmärtämään täysin syyt. Vaikka tämä oli Google-tutkijan hyvä löytö, näyttää siltä, että analyysi on epätäydellinen ja todellinen kiertotavoite, jota Googlessa ehdotetaan, voidaan helposti kiertää. Joissakin tapauksissa tarvitaan enemmän aikaa kokonaisvaltaiselle päivitykselle, jota ei voi ohittaa, eikä se aiheuta laatuongelmia, sanoi Microsoft.
On valitettavaa, vaikkakaan vastuutonta, että tietoturva-tutkija päätti julkistaa julkistamatta Microsoftia aikaa korjata se; mikä altistaa useita Windows-käyttäjiä tähän haavoittuvuuteen!
PÄIVITTÄÄ: Microsoft on julkaissut FixItin tämän ongelman ratkaisemiseksi.
