Pendedahan awam penyelidik Google tentang kecacatan Windows XP, berisiko Microsoft

Seorang penyelidik keselamatan Google Tavis Ormandy telah menemui kelemahan di Pusat Bantuan Windows, iaitu aplikasi lalai yang disediakan untuk mengakses dokumentasi dalam talian untuk Microsoft Windows.

Microsoft menyokong mengakses dokumen bantuan secara langsung melalui URL dengan memasang pengendali protokol untuk skema "hcp", contoh biasa diberikan dalam Rujukan Talian Command Windows XP dan butiran lengkap telah didokumentasikan olehnya di sini.

Isu ini dilaporkan olehnya ke Microsoft pada 5 Jun 2010. Beliau kemudiannya membuatnya awam kurang daripada empat hari kemudian, pada 9 Jun 2010.

Pendedahan awam e butir-butir kelemahan ini dan bagaimana cara mengeksploitinya, tanpa memberi masa Microsoft untuk menyelesaikan masalah ini, sekarang membuat serangan luas lebih cenderung dan meletakkan pengguna Windows XP berisiko!

Pengguna yang menjalankan Windows Vista, Windows 7, Windows Server 2008, dan Windows Server 2008 R2, tidak terdedah kepada isu ini, atau berisiko serangan.

Salah satu sebab utama kami dan banyak yang lain menyebarkan pendukung industri untuk pendedahan yang bertanggungjawab ialah vendor perisian yang menulis kod itu adalah yang terbaik kedudukan untuk memahami sepenuhnya punca akarnya. Walaupun ini adalah penemuan yang baik oleh penyelidik Google, ternyata analisis itu tidak lengkap dan penyelesaian sebenar Google dicadangkan mudah dielakkan. Dalam beberapa kes, lebih banyak masa diperlukan untuk kemas kini yang komprehensif yang tidak dapat dilewati, dan tidak menyebabkan masalah yang berkualiti, kata Microsoft.

Adalah malang, tidak lagi bertanggungjawab, bahawa penyelidik keselamatan memutuskan untuk pergi ke depan umum tanpa memberi masa kepada Microsoft tampalkannya;

Pelanggan boleh mengikuti panduan dalam Penasihat Keselamatan 2219475 untuk melindungi terhadap isu ini

UPDATE: Microsoft telah mengeluarkan FixIt untuk menangani isu ini.