Googleのセキュリティスペシャリストは、Microsoftにパッチをリリースする時間を与えることなく、Windowsヘルプとサポートセンターの脆弱性の技術的詳細を公開することで、異常な動作をしました。
hcp://プロトコルを使用したURIの誤った処理によって引き起こされる脆弱性により、任意のコードのリモート実行が可能になる可能性があります。
ついでに、最近同様の行動をとったOrmandyは、OracleにSun Javaの危険な脆弱性に緊急に対処することを強要しましたが、Microsoftに発見を報告してからわずか5日後に悪用コードを投稿しました。
彼の手紙の中で、 Ormandyはプロトコルハンドラーに脆弱性が含まれることが多いことを指摘し、hcp://プロトコル自体が複数回攻撃されたことを思い出しました。 これにより、彼はパッチのリリース前でも公開していました。
クラッカーがすでにこのコンポーネントを研究している可能性が高いと考えているため、この情報の公開はグローバルセキュリティの最大の利益になります。 さまざまなセキュリティレポートに対してマイクロソフトが早期に対応することを希望する場合は、サポートの連絡先が多い方にお勧めします。
マイクロソフトのセキュリティセンターでは、Ormandyの行動に感銘を受けていません。 MSRCのMike Reaveyディレクターは 、Microsoftが2010年6月5日(土曜日)に問題を認識し、4日以内に公開されたと主張しています。 「問題を解決するための適切な時間を提供せずに、この脆弱性の詳細とその使用手順を公開すると、大規模な攻撃の可能性が高まり、エンドユーザーのリスクが高まります。」 彼はまた、Ormandyによって提案された暫定的な解決策は不十分であると強調した。
私たちと他の多くのソフトウェアメーカーが責任を持って出版に取り組むべきだと主張する主な理由の1つは、製品のメーカーのみが原因を完全に理解し、問題の原因を見つけることができるからです。 Googleからの研究者の発見は重要でしたが、分析は不完全であり、Googleによって提案された一時的な解決策は簡単に回避できることがわかりました。 場合によっては、克服することはできず、製品の品質を損なうことのない思慮深いソリューションにもう少し時間をかける価値がある
Riviは、この脆弱性はWindows XPおよびWindows Server 2003のみに影響することを確認しています。他のすべてのバージョンのWindowsでは、この問題は影響しません。 マイクロソフトは、回避策を使用してセキュリティ勧告をすぐにリリースする予定です。
それまでの間、影響を受けるバージョンのWindowsのユーザーは、レジストリからHKEY_CLASSES_ROOT / HCPキーを削除することにより、次のようにHCPプロトコルの登録を解除できます。
注意、HCPプロトコルの登録解除は、hcpを使用するすべての実際のヘルプリンクをレンダリングします。 たとえば、コントロールパネルへのリンクが機能しなくなる場合があります。
翻訳者注: Microsoftのジョークの後、これらのGoogleアクションはそれほど悪意のあるようには見えませんか? ただの冗談です。