Av
Den 5 juni upptäckte en ingenjör på Google ett nytt säkerhetshål i Windows XP som gör det möjligt att utföra en så kallad snabbattack (zero-day attack) mot operativsystemet.
Igår valde ingenjören att publicera detaljerna kring säkerhetshålet tillsammans med kodexempel som visar hur attacken kan utföras. Säkerhetsforskare har nu kritiserat ingenjören för att inte ge Microsoft en chans att lösa problemet i tid.
Enligt Googles ingenjör, Tavis Ormandy, som arbetar inom säkerhet på Googles kontor i Schweiz, så ligger säkerhetshålet i Windows XPs hjälpcenter. Ett program i Windows XP som bland annat låter användarna ladda ned hjälpfiler. Programmet kan även ge en supporttekniker tillgång till användarens dator i syftet att lösa problem.
Igår valde Tavis Ormandy att publicera alla detaljer kring säkerhetshålet på mejllistan Full Disclosure.
– När en hackare utnyttjat säkerhetshålet och tagit sig in i en användares dator går det att köra program med samma rättigheter som användaren har på datorn, skriver Tavis Ormandy i sitt avslöjande.
Enligt Tavis Ormandy fungerar attacken med all större webbläsare, inklusive den senaste versionen av Microsofts IE8. Säkerhetshålet ska dessutom bli ännu enklare att exploatera om Windows Media Player är installerat, vilket det även är på de flesta datorer.
Tavis Ormandy erkänner att han upptäckte säkerhetshålet endast fem dagar innan han publicerade detaljerna kring det.
– Hade jag rapporterat problemet utan att ha gett detaljerna hade Microsoft ignorerat problemet. Microsoft hemlighetsmakeri kring nya buggar är ett problem för oss som arbetar med säkerhet. Vi kan inte säkra nätverk om vi inte vet vilka risker som finns, säger Tavis Ormandy.
Microsoft kritiserar Tavis Ormandys utspel som farligt och kan äventyra användarnas säkerhet.
– Vi ser allvarligt på publiceringen av det här säkerhetshålet. Vi har endast haft fem dagar på oss att analysera problemet innan det publicerades för allmänheten säger Microsofts säkerhetschef, Jerry Bryant.
Flera säkerhetsexperter har uttalat stark kritik mot Googles utspel. Vissa spekulerar att det kan röra sig om det pågående mediekriget mellan Microsoft och Google som pågår just nu. För drygt en vecka sedan meddelade Google att företaget kommer att byta sina anställdas Windows-datorer till Mac eller Linux.
– Det här luktar som en hämndaktion från Googles sida. Företaget fick tidigare mycket kritik från säkerhetsforskare på grund av beslutet att dumpa Windows. Vill Google visa någon form av ansvar borde företaget avskeda Tavis Ormandy omgående, säger Robert Hansen på säkerhetsföretaget Sectheory.
IDG News
Igår valde ingenjören att publicera detaljerna kring säkerhetshålet tillsammans med kodexempel som visar hur attacken kan utföras. Säkerhetsforskare har nu kritiserat ingenjören för att inte ge Microsoft en chans att lösa problemet i tid.
Enligt Googles ingenjör, Tavis Ormandy, som arbetar inom säkerhet på Googles kontor i Schweiz, så ligger säkerhetshålet i Windows XPs hjälpcenter. Ett program i Windows XP som bland annat låter användarna ladda ned hjälpfiler. Programmet kan även ge en supporttekniker tillgång till användarens dator i syftet att lösa problem.
Igår valde Tavis Ormandy att publicera alla detaljer kring säkerhetshålet på mejllistan Full Disclosure.
– När en hackare utnyttjat säkerhetshålet och tagit sig in i en användares dator går det att köra program med samma rättigheter som användaren har på datorn, skriver Tavis Ormandy i sitt avslöjande.
Enligt Tavis Ormandy fungerar attacken med all större webbläsare, inklusive den senaste versionen av Microsofts IE8. Säkerhetshålet ska dessutom bli ännu enklare att exploatera om Windows Media Player är installerat, vilket det även är på de flesta datorer.
Tavis Ormandy erkänner att han upptäckte säkerhetshålet endast fem dagar innan han publicerade detaljerna kring det.
– Hade jag rapporterat problemet utan att ha gett detaljerna hade Microsoft ignorerat problemet. Microsoft hemlighetsmakeri kring nya buggar är ett problem för oss som arbetar med säkerhet. Vi kan inte säkra nätverk om vi inte vet vilka risker som finns, säger Tavis Ormandy.
Microsoft kritiserar Tavis Ormandys utspel som farligt och kan äventyra användarnas säkerhet.
– Vi ser allvarligt på publiceringen av det här säkerhetshålet. Vi har endast haft fem dagar på oss att analysera problemet innan det publicerades för allmänheten säger Microsofts säkerhetschef, Jerry Bryant.
Flera säkerhetsexperter har uttalat stark kritik mot Googles utspel. Vissa spekulerar att det kan röra sig om det pågående mediekriget mellan Microsoft och Google som pågår just nu. För drygt en vecka sedan meddelade Google att företaget kommer att byta sina anställdas Windows-datorer till Mac eller Linux.
– Det här luktar som en hämndaktion från Googles sida. Företaget fick tidigare mycket kritik från säkerhetsforskare på grund av beslutet att dumpa Windows. Vill Google visa någon form av ansvar borde företaget avskeda Tavis Ormandy omgående, säger Robert Hansen på säkerhetsföretaget Sectheory.
IDG News
Snarare minst 10 år. - (Hyena) 2010-06-11 07:32
Varför är jag inte förvånad? - (Golle Oop) 2010-06-11 07:34
Dåligt av Google - (Jan Eriksson) 2010-06-11 07:38
Snarare minst 10 år. - (Golle Oop) 2010-06-11 07:40
Verklighetskontakt? - (SpamGod) 2010-06-11 07:43
Varför är jag inte förvånad? - (Hyena) 2010-06-11 07:57
Goo Google Goo... - (Helge Larsson) 2010-06-11 08:03
Snarare minst 10 år. - (smastad) 2010-06-11 08:03
Användarna vs företaget - (Pappa Nils) 2010-06-11 08:06
Verklighetskontakt? - (Depsidee) 2010-06-11 08:06