Stfw.RuGoogle представила 0-day уязвимость Windows
Специалист по безопасности из Google повёл себя необычно, опубликовав инженерные данные уязвимости Центра Поддержки и Помощи Windows, не дав Майкрософт времени, чтоб отпустить патч.
🕛 12.06.2010, 01:08
Уязвимость, вызванная неверной обработкой URI с протоколом hcp://, может позволить удалённо исполнять произвольный код.Орманди(Ormandy), который, к слову, уже не слишком давно поступал таким образом, заставив Oracle в срочном порядке заняться опасной уязвимостью в Sun Java, сейчас разместил код эксплоита в общей сложности 5-ю днями позднее, чем рассказал о собственной находке в Майкрософт.
В собственном письме Орманди заметил, что обработчики протоколов нередко содержат уязвимости, и напомнил, что сам протокол hcp:// уже неоднократно подвергался атакам. Это заставило его опубликоваться ещё до выхода патча:
Я считаю, что есть большая вероятность того, что взломщики уже изучили этот компонент, потому публикация этой информации - в лучших интересах всеобщей безопасности. Я рекомендую тем из вас, у кого есть немало контактов со службой помощи, выразить своё пожелание скорейшего ответа Майкрософт на разные отчёты о безопасности
В центре безопасности Майкрософт действиями Орманди не впечатлены. Директор MSRC, Майк Риви (Mike Reavey) утверждает, что Майкрософт стало известно о проблеме 5 Июня 2010 г. (в субботу), а после она была опубликована наименее чем 4 дня через. "Публикация подробностей этой уязвимости, как и указаний по её применению, без предоставления нам должного времени решить проблему, повышает вероятность широкомасштабных атак, этим увеличивая риск для конечного пользователя". Он к тому же отметил, что временное решение, предложенное Орманди, неадекватно.
Одной из основных причин, по которой мы и иные производители софта утверждаем, что к публикации необходимо подходить с ответственностью, это то, что лишь производитель продукта может в полной мере понять причину и отыскать первоисточник трудности. Хоть находка исследователя из Google и была важной, оказывается, что разбор был неполным, и временное решение, предложенное Google, без труда обойти. В некоторых ситуациях стоит потратить слегка более времени на продуманное решение, которое не одолеть, и которое не портит качество продукта
Риви подтверждает, что уязвимость затрагивает лишь Windows XP и Windows Server 2003, все иные версии Windows эта сложность не затрагивает. Ожидается, что Майкрософт вскоре выпустит рекомендацию по безопасности с временным решением.
А пока, пользователи затронутых версий Windows могут дерегистрировать протокол HCP следующим, удалив из реестра ключ HKEY_CLASSES_ROOT/HCP
Внимание, дерегистрация протокола HCP приведёт в нерабочее состояние все настоящие ссылки в поддержки, использующие hcp://. Например, ссылки к Панели Управления могут более не вести работу.