Google publiserte Windows XP-angrep

Google publiserte Windows XP-angrep

Microsoft fikk bare fem dager på å fikse feilen før angrepskode lå ute.

Det er et alvorlig sikkerhetshull i Windows XP og Windows 2003. Sårbarheten ligger i hjelp- og supportsenteret i Windows, og medfører at skurker kan kjøre ondsinnet kode på datamaskinen.

Problemet kan utnyttes når man starter Windows Hjelp og Supportsenter-applikasjonen gjennom en lenke. Metoden er vanligvis sikker, men på grunn av en kryssideskripting-sårbarhet (XSS) som er tilknyttet hjelpe-funksjonen, er det mulig å gå rundt listen som inneholder regler om hvilke lenker som er tillatt.

Angrepet er komplisert, men virker, skriver Computerworlds nyhetstjeneste.

Fem dagers frist

Det er den sveitsiske Google-medarbeideren Travis Ormandy som fant feilen. Han ga Microsoft fem dager på å fikse feilen før han gikk ut offentlig med beviskoden. Den korte fristen skyldes alvorligheten i feilen og av frykt for at Microsoft skulle overse analysen, hevder han.

- Hadde jeg rapportert feilen uten en fungerende utnyttelseskode, ville jeg ha blitt ignorert, sier han til sikkerhetsbrevet Full Disclosure.

Ormandy mener også at sedvanen som går ut på at leverandøren tipses om sikkerhetshull i full diskresjon og beviskoden ikke slippes ut før hullet har blitt lappet, er problematisk.

Microsoft sjekker nå ut hullet, men reagerer på den korte fristen.

- Vi er særlig bekymret over at offentliggjøringen av dette hullet, ettersom vi først fikk beskjed av sikkerhetsforskeren 5. juni, sier Jerry Bryant fra Microsoft Security Response Team.

- En del av en krig

Sikkerhetsekspertene Robert Hansen fra Sectheory og Andrew Storms fra Ncircle reagerer også på den svært korte fristen, og mener det hele er en del av en pågående, og stadig mer offentlige, krigen mellom de to it-selskapene. Google offentliggjorde nylig at deres ansatte ikke skal bruke Windows av sikkerhetsmessige årsaker.

- I denne saken kan du ikke si at selskapet toet sine hender uten å agere, som er det som vanligvis gjør at sikkerhetsforskere offentliggjør angrepskode, sier Storms.

Ormandy la ut en midlertidig fiks på problemet sammen med beviskoden, men Microsoft og det danske sikkerhetselskapet Secunia hevder fiksen ikke virker.

Neste bolk med sikkerhetsoppdateringer fra Microsoft kommer 13. juli. Storms tror ikke Microsoft rekker å komme med fiks innen den tid.

Les om: