Un ricercatore di sicurezza di Google Tavis Ormandy ha scoperto una vulnerabilità nel Centro assistenza di Windows, che è l'applicazione predefinita fornita per accedere alla documentazione online per Microsoft Windows.
Microsoft supporta l'accesso ai documenti della guida direttamente tramite URL installando un gestore di protocollo per lo schema "hcp", un tipico esempio è fornito nel Riferimento per riga di comando di Windows XP e i dettagli completi sono stati da lui documentati qui.
Questo problema è stato segnalato da Microsoft a Microsoft il 5 giugno 2010. Ha poi continuato a renderlo pubblico meno di quattro giorni dopo, il 9 giugno 2010.
La divulgazione pubblica dei dettagli di questa vulnerabilità e di come sfruttarla, senza dare a Microsoft il tempo di risolvere il problema, rende ora più probabili attacchi ampi e mette a rischio gli utenti di Windows XP!
Gli utenti che eseguono Windows Vista, Windows 7, Windows Server 2008 e Windows Server 2008 R2 non sono vulnerabili a questo problema oa rischio di attacco.
Uno dei motivi principali per cui noi e molti altri in tutto il settore sostengono la divulgazione responsabile è che il fornitore di software che ha scritto il codice è nella posizione migliore per comprendere appieno la causa principale. Sebbene questa sia stata una buona scoperta da parte del ricercatore di Google, risulta che l'analisi è incompleta e la soluzione alternativa suggerita da Google è facilmente aggirabile. In alcuni casi, è necessario più tempo per un aggiornamento completo che non può essere ignorato e non causa problemi di qualità, ha affermato Microsoft.
È spiacevole, anzi irresponsabile, che il ricercatore della sicurezza abbia deciso di renderlo pubblico senza dare a Microsoft il tempo di sistemarlo; esponendo così un numero di utenti Windows a questa vulnerabilità!
AGGIORNARE: Microsoft ha rilasciato un FixIt per risolvere questo problema.
