به گزارش افکار نیوز ،مایکروسافت راهنمای امنیتی با عنوان (۲۲۱۹۴۷۵) را منتشر کرده است که به بررسی نقص امنیتی صفر روزه در سیستم عامل ویندوز میپردازد. بر طبق نوشته وبلاگ تیم امنیتی ویندوز، جزئیات این آسیب پذیری دو روز پیش توسط یکی از پژوهشگران گوگل برای عموم منتشر شده است.

مدیر راهبردی تیم پاسخ امنیتی ویندوز پیرامون افشای عمومی این نقص امنیتی ابراز ناخرسندی کرده است و در ادامه گفته است که افشا نمودن جزئیات بهره‌برداری از این گونه آسیب پذیری‌ها کاربران‌ و مشتریانش را بیشتر مورد تهدید حملات مخرب قرار می‌دهد.

این آسیب پذیری مربوط به سیستم عامل‌های ویندوز سرور ۲۰۰۳ و اکس پی می‌باشد. کاربر در هنگام کلیک بر روی پیوند‌های hcp که فایل helpctr. exe را اجرا می‌کند به روش امن و معمول میتواند در میان اطلاعات «کمک» گشت بزند. اما محقق گوگل کشف کرده‌ است که یک صفحه کمک(help page) که آلوده به آسیب پذیری کراس سایت اسکریپتینگ باشد، می‌تواند از این مکانیزم سوء استفاده نماید.

پژوهشگر گوگل که نام وی مشخص نیست این آسیب پذیری را به مایکروسافت اعلام می‌کند اما تنها پس از چهار روز جزئیات نحوه عملکرد مخرب این آسیب پذیری را بر روی اینترنت قرار می‌دهد.

کارگردان امنیتی در مایکروسافت این نحوه عملکرد گوگل را مورد انتقاد قرار داده است و مدت زمان چهار روز را برای بررسی این آسیب پذیری کم اعلام کرده است. مایکروسافت می‌گوید که ارائه اصلاحیه‌ای که بر روی کیفیت محصول تاثیر گذار نباشد بیش از این مدت طول می‌کشد.

مایکروسافت در بخشی دیگر از این نوشته وبلاگی از یافته پژوهشگر گوگل قدردانی نیز کرده است اما خواستار ایجاد حس مسولیت پذیری بیشتر شده است. «ما درک می‌کنیم که محققان بخش حیاتی در رابطه با شناخت مشکلات و بهبود آن‌ها هستند و ما همچنان از آنان خواستاریم که به فعالیت مفید خود به همراه افشاء سازی های مسؤلانه ادامه دهند.»

هم اکنون بهترین روش کاهش ریسک خطر سیستم‌ عامل‌های ویندوز xp و ویندوز سرور ۲۰۰۳ منحل کردن ثبات نگهدارنده hcp: / / میباشد:

Windows Registry Editor Version ۵.۰۰

[- HKEY _ CLASSES _ ROOT \ HCP]

با اضافه کردن این کد در یک فایل reg. میتوانید پروتکل hcp را منحل نمایید. روش برگشت به حالت اولیه و اطلاعات کاملتر در راهنمای امنیتی این آسیب پذیری قرار گرفته است. قابل ذکر است که نسخههای جدیدتر سیستم عامل ویندوز مانند ویستا و هفت به این نقص آلوده نمیباشند.