A Google biztonsági kutatója, a Tavis Ormandy sebezhetőséget fedezett fel a Windows súgójában, amely az alapértelmezett alkalmazás a Microsoft Windows online dokumentációjának eléréséhez.
A Microsoft támogatja a súgódokumentumok közvetlen elérését az URL-eken keresztül, ha a "hcp" sémára vonatkozó protokollkezelőt telepíti, a Windows XP parancssori referenciáján egy tipikus példa található, és a teljes részleteket itt dokumentálta.
Ezt a problémát 2010. június 5-én jelentette be a Microsoftnak. Ezt követően négy nappal később, 2010. június 9-én nyilvánosságra hozta.
A biztonsági rés részleteinek nyilvános közzététele és annak kihasználása, anélkül, hogy a Microsoft megjavította volna a problémát, most tette lehetővé a szélesebb értelemben vett támadásokat, és veszélyezteti a Windows XP felhasználókat.
A Windows Vista, a Windows 7, a Windows Server 2008 és a Windows Server 2008 R2 rendszerű felhasználók nincsenek kiszolgáltatva ezzel a problémával, vagy támadás veszélyével.
Az egyik legfontosabb oka annak, hogy mi és sok más az iparágon belül a felelősségteljes nyilvánosságra hozatalért, az, hogy a kódot író szoftvergyártó a legjobb helyzetben van ahhoz, hogy teljes mértékben megértsük a kiváltó okot. Bár a Google kutatója jó találatot talált, kiderül, hogy az elemzés nem teljes, és a Google által javasolt tényleges megoldás könnyen megkerülhető. Bizonyos esetekben több idő szükséges egy olyan átfogó frissítéshez, amelyet nem lehet megkerülni, és nem okoz minőségi problémákat, mondta a Microsoft.
Sajnálatos, sőt felelőtlen, hogy a biztonsági kutató úgy döntött, hogy nyilvánosságra kerül, anélkül, hogy a Microsoftnak fel kellene vennie a javítást; ezáltal rengeteg Windows-felhasználó jelenik meg ezzel a biztonsági résszel!
UPDATE: A Microsoft kiadott egy FixIt-t a probléma megoldására.
