Изследовател на сигурността на Google Tavis Ormandy откри уязвимост в Помощния център на Windows, който е приложението по подразбиране, предоставено за достъп до онлайн документация за Microsoft Windows.
Microsoft поддържа достъп до помощни документи директно чрез URL адреси, като инсталира протокол за схема "hcp", типичен пример е предоставен в Windows XP Command Line Reference и пълните подробности са документирани от него тук.
Този въпрос бе съобщен от него на Microsoft на 5 юни 2010 г. След това той стана публично оповестен по-малко от четири дни по-късно, на 9 юни 2010 г.
Общественото разкриване на подробностите за тази уязвимост и начините за нейното използване, без да се даде време на Microsoft да реши проблема, сега прави широките атаки по-вероятни и поставя потребителите на Windows XP в риск!
Потребителите, работещи с Windows Vista, Windows 7, Windows Server 2008 и Windows Server 2008 R2, не са уязвими по този въпрос или са изложени на риск от атака.
Една от основните причини, поради които ние и много други в отрасъла се застъпваме за отговорно разкриване, е, че продавачът на софтуер, който е написал кода, е в най-добра позиция да разбере напълно основната причина. Въпреки че това беше добра находка от изследователя на Google, се оказва, че анализът е непълен и действителното решение, предложено от Google, е лесно заобиколено. В някои случаи е необходимо повече време за цялостна актуализация, която не може да бъде заобиколена, и не води до проблеми с качеството, каза Майкрософт.
За съжаление е безотговорно, че изследователят по сигурността реши да се яви публично, без да му се даде време да го закърпи; като по този начин излагат редица потребители на Windows на тази уязвимост!
UPDATE: Microsoft пусна FixIt за решаване на този проблем.
