Połowę luk, które gigant z Redmond załatał w kwietniu, stanowiły te znalezione przez specjalistów Google'a. Cóż, bywa i tak, choć pracownicy Microsoftu woleliby na pewno sami odkrywać dziury niż dowiadywać się o nich od ekspertów innych firm. Tavis Ormandy nadepnął im jednak na odcisk nie pierwszy raz. To człowiek, po którym nie można się spodziewać, że zachowa w tajemnicy sposób wykorzystania luki, dopóki producent jej nie załata.

Szerokim echem odbiło się zwłaszcza ujawnienie w 2010 roku szczegółów błędu w Centrum pomocy i obsługi technicznej, który zagrażał użytkownikom systemów Windows XP i Windows Server 2003. Stało się to zaledwie pięć dni po przekazaniu informacji o luce Microsoftowi, inżynierowie tej firmy nie mieli więc szans na zbadanie błędu i przygotowanie poprawki. Takie posunięcie spotkało się zresztą z ostrą krytyką specjalistów ds. bezpieczeństwa, również tych niezwiązanych z Microsoftem.

Efekt? Z lekkim opóźnieniem luka została załatana, a gigant z Redmond zapowiedział odejście od koncepcji Responsible Disclosure (odpowiedzialnego ujawniania), która polega na powiadomieniu producenta o znalezionym błędzie i zaczekaniu, aż ten przygotuje poprawkę, co w wielu przypadkach mocno się przeciąga. Nowej strategii nadano nazwę Coordinated Vulnerability Disclosure - zakłada ona możliwość upublicznienia informacji o luce w przypadku aktywnego jej wykorzystywania przez twórców złośliwych kodów.

Nowe odkrycie Tavisa Ormandy'ego

Szczegółowe informacje o luce 0-day, która zagraża użytkownikom prawdopodobnie wszystkich wersji Windowsa, pojawiły się w tym tygodniu na liście Full Disclosure. Odkryta przez Ormandy'ego usterka pozwala procesowi działającemu z uprawnieniami zwykłego użytkownika zwiększyć je do poziomu systemowego, aby wykonać dowolny kod.

Przyczyną problemu jest błąd projektowy w podsystemie GDI (ang. Graphics Device Interface), komponencie systemu Windows odpowiedzialnym za odwzorowywanie grafiki na urządzeniach wyjściowych, takich jak monitory czy drukarki. Luka występuje w obsłudze tzw. ścieżek (ang. Paths), więcej szczegółów technicznych można znaleźć w niedawno uruchomionym serwisie BAD[SECTOR].PL oraz - co dość oczywiste - na blogu samego odkrywcy błędu.

Kiedy można spodziewać się poprawki, nie wiadomo. Do czasu jej wydania eksperci zalecają unikać uruchamiania programów niewiadomego pochodzenia, pobierania kodeków wideo z niewiarygodnych źródeł i korzystania z wtyczek do przeglądarek, które mogą zawierać usterki bezpieczeństwa.

Zobacz także: Wielkie łatanie Internet Explorera i kilka aktualizacji istotnych dla przedsiębiorców