Man habe nicht genug Zeit gehabt um Sicherheitsloch in Hilfe- und Supportcenter zu stopfen
Nachdem Sicherheitsexperte Tavis Ormandy eine Sicherheitslücke in Windows-Systemen publik machte, reagiert Microsoft nun verärgert in einem Blog-Eintrag.
Fehler
Ormandy stellte am 9. Juni eine detaillierte Fehlerbeschreibung samt Exploit ins Internet, nachdem er Microsoft vier Tage zuvor davon unterrichtet hatte. Er erklärte, dass sich Schadcode durch einen Fehler in Microsofts Hilfe- und Supportcenter einschleusen ließe. Weiters führte der Experte aus, dass neben Windows XP Service Pack 3 und Windows Server 2003 auch aktuellere Systeme betroffen sein könnten, Microsoft dementiert dies. Gleichzeitig übt der Softwarekonzern Kritik an der Vorgehensweise Ormandys, er habe den Entwicklern schlichtweg zu wenig Zeit gelassen, um auf die Lücke adäquat reagieren zu können.
Kritiker
Microsoft meint auch, dass die Fehlerbeschreibung nicht detailliert genug ausgefallen sei. Außerdem sei der zu Verfügung gestellte Hotfix bloß ein kalter Tropfen auf den heißen Stein, das Problem ließe sich damit nicht zuverlässig beheben. Ein Kritikpunkt, den auch Sicherheitsdienstleister Secunia hervorhebt.
Lösungsansatz
Um für Sicherheit zu sorgen, empfiehlt Microsoft in seinem Blog, den hcp-Handler - der als Ursache für den Fehler gesehen wird - zu löschen. Dazu muss eine entsprechende reg-Datei angelegt werden, mit einem Doppelklick darauf ließe sich die Verarbeitung von Hilfedokumenten einstellen. (red)
