Публичное раскрытие Google исследователем недостатка Windows XP, иркс Microsoft

Исследователь безопасности Google Тавис Орманди обнаружил уязвимость в Справочном центре Windows, которая является стандартным приложением для доступа к онлайн-документации для Microsoft Windows.

Microsoft поддерживает доступ к справочным документам напрямую через URL-адреса, установив обработчик протокола для схемы «hcp», типичный пример приведен в справочной системе Windows XP, и полная информация была задокументирована им здесь.

Об этой проблеме сообщалось 5 июня 2010 года. Затем он продолжил публиковать его менее чем через четыре дня, 9 июня 2010 года.

Публичное раскрытие информации Подробности этой уязвимости и способы ее использования без предоставления Microsoft времени для решения проблемы теперь делают более широкие атаки более уязвимыми и ставят под угрозу пользователей Windows XP!

Пользователи, работающие под управлением Windows Vista, Windows 7, Windows Server 2008 и Windows Server 2008 R2 не уязвимы для этой проблемы или подвержены риску нападения.

Одна из основных причин, по которой мы и многие другие в отрасли выступаем за ответственное раскрытие информации, заключается в том, что поставщик программного обеспечения, который написал код, находится в лучшем состоянии чтобы полностью понять первопричину. Хотя это была хорошая находка исследователя Google, выясняется, что анализ является неполным, и фактическое обходное решение, предлагаемое Google, легко обойти. В некоторых случаях требуется больше времени для всеобъемлющего обновления, которое невозможно обойти, и не вызывает проблем с качеством, заявила Microsoft.

Несчастливо, безответственно, что исследователь безопасности решил пойти на публичный, не дав Microsoft время исправить это; тем самым подвергая пользователей уязвимости Windows этой уязвимости!

Клиенты могут следовать рекомендациям в Security Advisory 2219475 для защиты от этой проблемы.

ОБНОВЛЕНИЕ: Корпорация Майкрософт выпустила FixIt для решения этой проблемы.