Peneliti keamanan Google Tavis Ormandy telah menemukan kerentanan di Pusat Bantuan Windows, yang merupakan aplikasi default yang disediakan untuk mengakses dokumentasi online untuk Microsoft Windows.
Microsoft mendukung pengaksesan dokumen bantuan secara langsung melalui URL dengan menginstal pengendali protokol untuk skema "hcp", contoh yang khas diberikan dalam Referensi Baris Perintah Windows XP dan rincian lengkapnya telah didokumentasikan olehnya di sini.
Masalah ini dilaporkan olehnya ke Microsoft pada 5 Juni 2010. Dia kemudian melanjutkan ke publik kurang dari empat hari kemudian, pada 9 Juni 2010.
Pengungkapan publik tentang detail kerentanan ini dan cara memanfaatkannya, tanpa memberi waktu kepada Microsoft untuk menyelesaikan masalah ini, kini membuat serangan luas lebih mungkin dan menempatkan pengguna Windows XP dalam bahaya!
Pengguna yang menjalankan Windows Vista, Windows 7, Windows Server 2008, dan Windows Server 2008 R2, tidak rentan terhadap masalah ini, atau berisiko terkena serangan.
Salah satu alasan utama kami dan banyak orang lain di seluruh industri mengadvokasi pengungkapan yang bertanggung jawab adalah bahwa vendor perangkat lunak yang menulis kode berada dalam posisi terbaik untuk sepenuhnya memahami akar permasalahannya. Meskipun ini merupakan temuan yang baik oleh peneliti Google, ternyata analisisnya tidak lengkap dan solusi Google yang sebenarnya disarankan mudah dielakkan. Dalam beberapa kasus, lebih banyak waktu diperlukan untuk pembaruan komprehensif yang tidak dapat dilewati, dan tidak menyebabkan masalah kualitas, kata Microsoft.
Sangat disayangkan, tidak bertanggung jawab, bahwa peneliti keamanan memutuskan untuk go public tanpa memberikan waktu kepada Microsoft untuk memperbaikinya; sehingga mengekspos sejumlah pengguna Windows pada kerentanan ini!
MEMPERBARUI: Microsoft telah merilis FixIt untuk mengatasi masalah ini.
