Google forskers offentliggørelse af Windows XP-fejl, irsk Microsoft

En Google sikkerhedsforsker Tavis Ormandy har opdaget en sårbarhed i Hjælp til Windows, som er standardprogrammet til at få adgang til online dokumentation til Microsoft Windows.

Microsoft understøtter at få adgang til hjælpedokumenter direkte via webadresser ved at installere en protokollhåndterer til ordningen "hcp", et typisk eksempel findes i Windows XP Command Line Reference, og de fuldstændige detaljer er blevet dokumenteret af ham her.

Dette problem blev rapporteret af ham til Microsoft den 5. juni 2010. Han fortsatte derefter med at gøre den offentlig mindre end fire dage senere den 9. juni 2010.

Offentliggørelse af e detaljer om denne sårbarhed og hvordan man udnytter den uden at give Microsoft tid til at løse problemet, gør det nu bredere angreb mere sandsynligt og sætter Windows XP-brugere i fare!

Brugere, der kører Windows Vista, Windows 7, Windows Server 2008 og Windows Server 2008 R2, er ikke sårbare over for dette problem eller risiko for angreb.

En af hovedårsagerne til, at vi og mange andre i hele branchen fortaler for ansvarlig offentliggørelse, er, at den softwareleverandør, der skrev koden, er den bedste position for fuldt ud at forstå grundårsagen. Selv om dette var et godt fund af Google-forskeren, viser det sig, at analysen er ufuldstændig, og den egentlige løsning, som Google foreslog, er let at omgå. I nogle tilfælde kræves der mere tid til en omfattende opdatering, der ikke kan omgåes og ikke forårsager kvalitetsproblemer, siger Microsoft.

Det er uheldigt, uansvarligt, at sikkerhedsforskeren besluttede at gå offentligt uden at give Microsoft tid til at lappe det op

Kunder kan følge vejledningen i Security Advisory 2219475 for at beskytte mod dette problem.

UPDATE: Microsoft har udgivet en FixIt til at løse dette problem.