11 июня 2010, 11:46 | http://habrahabr.ru/blogs/infosecurity/96196/

Сотрудник Google публикует 0-day уязвимость Windows

Специалист по безопасности из Google повёл себя необычно, опубликовав технические данные уязвимости Центра Помощи и Поддержки Windows, не дав Microsoft времени, чтобы выпустить патч.

Уязвимость, вызванная неверной обработкой URI с протоколом hcp://, может позволить удалённо выполнять произвольный код.

Орманди(Ormandy), который, кстати, уже недавно поступал подобным образом, заставив Oracle в срочном порядке заняться опасной уязвимостью в Sun Java, теперь разместил код эксплоита всего пятью днями позже, чем сообщил о своей находке в Microsoft.

В своём письме Орманди заметил, что обработчики протоколов часто содержат уязвимости, и напомнил, что сам протокол hcp:// уже не раз подвергался атакам. Это заставило его опубликоваться ещё до выхода патча:

Я считаю, что есть большая вероятность того, что взломщики уже изучили этот компонент, поэтому публикация этой информации — в лучших интересах всеобщей безопасности. Я рекомендую тем из вас, у кого есть много контактов со службой поддержки, выразить своё пожелание скорейшего ответа Microsoft на разнообразные отчёты о безопасности


В центре безопасности Microsoft действиями Орманди не впечатлены. Директор MSRC, Майк Риви (Mike Reavey) утверждает, что Microsoft стало известно о проблеме 5 Июня 2010 года (в субботу), а затем она была опубликована менее чем четыре дня спустя. «Публикация подробностей этой уязвимости, как и указаний по её использованию, без предоставления нам должного времени решить проблему, повышает вероятность широкомасштабных атак, тем самым увеличивая риск для конечного пользователя». Он также подчеркнул, что временное решение, предложенное Орманди, неадекватно.

Одной из главных причин, по которой мы и многие другие производители софта утверждаем, что к публикации нужно подходить с ответственностью, это то, что только производитель продукта может в полной мере понять причину и найти первоисточник проблемы. Хоть находка исследователя из Google и была важной, оказывается, что анализ был неполным, и временное решение, предложенное Google, легко обойти. В некоторых случаях стоит потратить немного больше времени на продуманное решение, которое не преодолеть, и которое не портит качество продукта


Риви подтверждает, что уязвимость затрагивает только Windows XP и Windows Server 2003, все остальные версии Windows эта проблема не затрагивает. Ожидается, что Microsoft в скором времени выпустит рекомендацию по безопасности с временным решением.

А пока, пользователи затронутых версий Windows могут дерегистрировать протокол HCP следующим, удалив из реестра ключ HKEY_CLASSES_ROOT/HCP

Внимание, дерегистрация протокола HCP приведёт в нерабочее состояние все настоящие ссылки в помощи, использующие hcp://. К примеру, ссылки к Панели Управления могут более не работать.