اكتشف الباحث في أمان Google Tavis Ormandy ثغرة أمنية في مركز مساعدة Windows وهو التطبيق الافتراضي المقدم للوصول إلى الوثائق عبر الإنترنت لـ Microsoft Windows

تدعم Microsoft الوصول إلى مستندات المساعدة مباشرةً عبر عناوين URL من خلال تثبيت معالج بروتوكول لنظام "hcp" ، ويتم تقديم مثال نموذجي في Windows XP Command Line Reference وقد تم توثيق التفاصيل الكاملة من قبله هنا.

تم الإبلاغ عن هذه المشكلة من قبله إلى Microsoft في 5 يونيو ، 2010. ثم ذهب إلى جعله علنيًا بعد أقل من أربعة أيام ، في 9 يونيو 2010.

الإفصاح العام عن فالتفاصيل الإلكترونية الخاصة بهذه الثغرة وكيفية استغلالها ، دون منح Microsoft الوقت لحل المشكلة ، تجعل الهجمات واسعة النطاق أكثر احتمالاً وتعرض مستخدمي Windows XP للخطر!

المستخدمون الذين يستخدمون Windows Vista و Windows 7 و Windows Server 2008 و Windows Server 2008 R2 ، غير معرضين لهذه المشكلة ، أو معرضين لخطر الهجوم.

أحد الأسباب الرئيسية التي ننادي بها العديد من الجهات الأخرى في هذا المجال للإفصاح المسؤول هو أن بائع البرنامج الذي كتب الكود هو الأفضل موقف لفهم السبب الجذري بشكل كامل. على الرغم من أن هذا البحث كان بحثًا جيدًا من قِبل الباحث في Google ، إلا أنه تبين أن التحليل غير مكتمل وأن الحل الحقيقي الذي اقترحته Google قد تم التحايل عليه بسهولة. في بعض الحالات ، يلزم مزيد من الوقت للتحديث الشامل الذي لا يمكن تجاوزه ، ولا يتسبب في مشاكل الجودة ، كما تقول مايكروسوفت.

من المؤسف ، غير المسؤول ، أن الباحث الأمني ​​قرر أن يعلن علانية دون إعطاء مايكروسوفت الوقت ل تصحيح الامر؛ مما يؤدي إلى تعريض عدد من مستخدمي Windows لهذه الثغرة الأمنية!

يمكن للعملاء اتباع الإرشادات الواردة في "النصائح الأمنية" 2219475 للحماية من هذه المشكلة.

تحديث:

قامت Microsoft بإصدار FixIt لمعالجة هذه المشكلة.