Tavis Ormandy, ricercatore Google, ha segnalato lo scorso 5 Giugno a Microsoft la scoperta di una grave vulnerabilità in Windows XP e Windows Server 2003: pochi giorni più tardi la vulnerabilità era di pubblico dominio. Trattasi di un problema di grave entità che Secunia giudica come «altamente critico» e per il quale non esiste al momento una specifica soluzione.
Microsoft ha presto confermato il problema tramite il proprio Security Response Center (Security Advisory 2219475), ma limando l’allarme. Innanzitutto gli ultimi sistemi operativi del gruppo sono al riparo: Windows Vista, Windows 7, Windows Server 2008, e Windows Server 2008 R2 sono immuni al problema; inoltre sul web non vi sarebbe ancora traccia alcuna di exploit, il che permette al gruppo di poter intervenire con relativa calma senza dover affrettare le operazioni con una patch al di fuori del ciclo mensile di update.
Il bug è stato identificato a livello di Windows Help and Support Center (helpctr.exe): una vulnerabilità di tipo cross-site scripting permetterebbe infatti click non sicuri sui link di tipo “hcp://” permettendo così l’esecuzione di codice da remoto sulla macchina vulnerabile.
Con apposito post esplicativo, il responsabile Microsoft Mike Reavey ringrazia il ricercatore Google per la scoperta ma ne boccia l’analisi, i tempi di pubblicazione (troppo brevi per permettere un intervento) ed il workaround proposto in parallelo al proof-of-concept. Microsoft spiega di aver sviluppato una soluzione di miglior qualità, non aggirabile e pertanto più sicura per l’utente che si appresta ad apportare lo specifico correttivo. Trattasi comunque di un intervento destinato a mani esperte, in attesa che da Redmond possa giungere una patch risolutiva che ponga fine al pericolo. Essendo passate poche ore dal rilascio degli update del patch day di Giugno, è presumibile un intervento sul problema odierno in concomitanza con il prossimo rilascio delle patch mensili previsto per il 13 Luglio.