Một nhà nghiên cứu bảo mật của Google, Tavis Ormandy, đã phát hiện ra lỗ hổng trong Trung tâm trợ giúp của Windows, đây là ứng dụng mặc định được cung cấp để truy cập tài liệu trực tuyến cho Microsoft Windows.
Microsoft hỗ trợ truy cập tài liệu trợ giúp trực tiếp qua URL bằng cách cài đặt trình xử lý giao thức cho lược đồ “hcp”, một ví dụ điển hình được cung cấp trong Tham chiếu dòng lệnh Windows XP và các chi tiết đầy đủ đã được anh ta ghi ở đây.
Vấn đề này đã được báo cáo bởi anh ta cho Microsoft vào ngày 5 tháng 6 năm 2010. Sau đó, anh ta tiếp tục công khai vấn đề này ít hơn bốn ngày sau đó, vào ngày 9 tháng 6 năm 2010.
Công khai thông tin chi tiết về lỗ hổng này và cách khai thác lỗ hổng này, mà không cho Microsoft thời gian để giải quyết vấn đề, giờ đây làm cho các cuộc tấn công rộng hơn có khả năng xảy ra và khiến người dùng Windows XP gặp rủi ro!
Người dùng đang chạy Windows Vista, Windows 7, Windows Server 2008 và Windows Server 2008 R2, không dễ bị tổn thương về vấn đề này hoặc có nguy cơ bị tấn công.
Một trong những lý do chính mà chúng tôi và nhiều người khác trong ngành ủng hộ việc tiết lộ trách nhiệm là nhà cung cấp phần mềm đã viết mã ở vị trí tốt nhất để hiểu đầy đủ nguyên nhân gốc rễ. Mặc dù đây là một tìm kiếm tốt bởi nhà nghiên cứu của Google nhưng hóa ra là phân tích chưa hoàn chỉnh và giải pháp thực tế mà Google đề xuất dễ dàng bị phá vỡ. Trong một số trường hợp, cần có thêm thời gian để cập nhật toàn diện mà không thể bỏ qua, và không gây ra vấn đề về chất lượng, Microsoft cho biết.
Thật không may, điều này vô trách nhiệm, rằng nhà nghiên cứu bảo mật đã quyết định ra công chúng mà không cho Microsoft thời gian vá nó; do đó phơi bày một số người dùng Windows tới lỗ hổng này!
CẬP NHẬT: Microsoft đã phát hành một FixIt để giải quyết vấn đề này.
