Nem kis vihart kavart az a sebezhetőség, melyet néhány napja fedeztek fel bizonyos Windowsokban. Ám nem azért, mert olyan különlegesen, páratlanul súlyos lenne a hiba, hanem a módszer miatt, mellyel Tavis Ormandy, a Google mérnöke bánt az általa felfedezett problémával.

Maga a zero-day exploit a buherablog leírása szerint a következő: „A problémát a Windows Help Center HCP protokollkezelőjében található egyik konvertáló függvény helytelen használata okozza, ami XSS-re ad lehetőséget a vezérlő által megjelenített oldalon. A baj az, hogy a HCP-n keresztül betöltött dokumentumok megbízható zónában futnak, így lehetőség nyílik kódfuttatásra JavaScript segítségével. A hiba kihasználását megnehezíti, hogy egy egyszerű hcp:// hivatkozás megjelenítésekor a protokollkezelőt használó alkalmazások megerősítést kérnek a felhasználótól a folytatáshoz, de ezt a védelmi funkciót is meg lehet kerülni: Ha egy Advanced Stream Redirector (ASX – ezt a formátumot alapesetben a Windows Media Player kezeli le) formátumú fájl HtmlView paraméterének egy olyan weboldalt adunk, amely egy IFRAME-be ágyazva egy hcp:// hivatkozást jelenít meg, nem kapunk figyelmeztetést.”

A feltámadt polémiát azonban nem maga a sebezhetőség okozta, hanem az, hogy Ormandy öt nappal az után, hogy értesítette a Microsoftot, június 10-én nyilvánosságra hozta a részletes leírást, megadva ezzel a lehetőséget a rossz szándékú támadóknak, hogy kihasználják. A Microsoft és néhány biztonsági szakember korholó szavaival szemben a Google szakembere azzal védekezett, hogy a Microsoft 60 napon belüli javítást ígért, ám ezt ő elfogadhatatlannak tartotta.

Habár több rendszert is érint a rés, a biztonsági cégek és a Microsoft is azt közölték, hogy az elmúlt napokban a Windows XP-k ellen indultak támadások.

A Microsoft gyorsjavítása már elérhető a cég oldalán, ahol azt a listát is meg lehet tekinteni, hogy pontosan mely Windowsokat szükséges frissíteni.