De patch van Tavis werkt overigens wel. Het is namelijk een TIJDELIJKE fix die ervoor zorgt dat je niet rechtstreeks het HCP protocol kan benaderen. Het zorgt er wel voor dat de helpfunctie en applicaties blijven werken. Het repareert het lek niet maar maakt het wel moeilijker te misbruiken. Dat is iets wat in een enkel uur geprogrammeerd is.
Dit in tegenstelling tot de hotfix van Microsoft, die het gehele HCP protocol sloopt door het deregistreren uit het Windows register. Dus ook helpapplicaties van 3rd parties worden gesloopt via de hotfix van Microsoft.
Remote Assistance zal niet meer werken (door veel helpdesken gebruikt voor support) en bepaalde functies in MSIE zullen niet meer werken (waaronder dus de help functie) die niet alleen door de helpfunctie gebruikt worden.
De letterlijke tekst van Billysoft is dan ook:
The full-disclosure advisory included a hotfix tool built by the Google security researcher. Unfortunately it is ineffective at preventing the vulnerable code from being reached and can be easily bypassed. We recommend not counting on the Google hotfix tool for protection from the issue.
De hotfix van Microsoft zou in het geval van Slammer betekenen het deinstalleren van MSSQL. Ja, Slammer werkt niet meer dan. De database ook niet meer. Geen PR stunt van Google, Tavis deed dit op eigen houtje (zijn account bij Lonestar werd gebruikt om het lek te melden en niet die van Google). En Microsoft zelf heeft gezegd geen zin te hebben om dit lek 'wat nooit misbruikt zou kunnen worden' te fixen binnen twee maanden. Schijnbaar kan het toch misbruikt worden....
En het had makkelijk binnen 60 gefixed kunnen worden, ze hoefden alleen maar een sanatizer te plaatsen op de functie MPC::HTML::UrlUnescapeW()
Wat misschien nog erger was geweest was dat als Tavis GEEN exploit code geschreven had, hij waarschijnlijk door de Microsoft PR lobby weggehoond was als "dat lek bestaat niet" of "is very unlikely to be exploited". (been there, done that).
Nu is het 'putting his money where his mouth is' en dan is het ook weer niet goed.
Maarja, dat is het verschil tussen PR wat zeg dat 'je veilige software bouwt' en de programmeurs die het waar moeten maken.
ASL