Microsoft is niet blij met de manier waarop Google een ernstig beveiligingslek in Windows XP heeft bekendgemaakt, daarnaast werkt de oplossing die de zoekgigant adviseert ook niet. Eergisteren onthulde Tavis Ormandy, beveiligingsonderzoeker bij Google, een kwetsbaarheid in Windows XP en Server 2003 waardoor aanvallers volledige controle over kwetsbare machines kunnen krijgen. Het lek bevindt zich in het Windows Help en Support Center. Ormandy waarschuwde Microsoft op 5 juni, dat het probleem bevestigde. De onderzoeker besloot niet op een patch te wachten en publiceerde zijn ontdekking, inclusief proof-of-concept en een onofficiële patch.

"Het publiek melden van de details van dit lek en hoe het te misbruiken, zonder ons de tijd te geven het probleem voor betrokken klanten op te lossen, maakt grootschalige aanvallen waarschijnlijker en brengt klanten in gevaar", zegt Mike Reavey, directeur van het Microsoft Security Response Center (MSRC). Hij hamert op het verantwoord melden van lekken, waarbij de softwareontwikkelaar in kwestie als eerste wordt ingelicht. "De vendor die de code schreef is als beste in staat om de oorzaak te begrijpen." Inmiddels heeft Microsoft een advisory over het lek gepubliceerd.

Incompleet
Volgens Reavey is het een mooie vondst van Ormandy, maar is zijn analyse incompleet en is de door Google voorgestelde oplossing eenvoudig te omzeilen. "In sommige gevallen is er meer tijd vereist voor een uitgebreide update die niet te omzeilen is, en die geen kwaliteitsproblemen veroorzaakt", aldus de Microsoft topman. Die erkent dat beveiligingsonderzoekers onmisbaar voor de gehele industrie zijn, maar blijft om 'responsible disclosure' vragen, om zo "klanten te beschermen en de beveiliging te verbeteren."

Kritiek
Volgens sommige critici heeft de actie van Ormandy niets met full-disclosure te maken, maar gaat het om een mogelijk communicatieprobleem tussen hem en het MSRC. "Je zegt dat Microsoft een communicatieprobleem moet oplossen. Dat heeft volgens mij niets met het Full-disclosure onderwerp te maken", aldus Susan Bradley op de Full-disclosure mailinglist. Ormandy heeft niet meer gereageerd want die liet eerder al tegen Bradley weten: "Ik zal geen ongeïnformeerde vragen over dit onderwerp meer beantwoorden."

Patch
Uit onderzoek van het Deense Secunia blijkt dat de door Google aangeboden hotfix niet werkt. "Gebruikers wordt aangeraden om de onofficiële hotfix niet te installeren, maar in plaats daarvan de HCP URI handler uit het register te verwijderen om zo misbruik te voorkomen tot dat een officiële patch van Microsoft beschikbaar is", zegt beveiligingsspecialist Alin Rad Pop.

Verantwoord
De actie van Google volgt op berichtgeving dat de zoekgigant een Windows-verbod voor werknemers zou hebben afgekondigd. Het is dan ook de vraag in hoeverre dit een PR-actie is. In januari van dit jaar is Google begonnen met een beloningsprogramma voor onderzoekers, waarbij het kleine bedragen voor gerapporteerde beveiligingslekken betaalt. Geld dat het alleen uitkeert als kwetsbaarheden op verantwoorde wijze aan Google worden gemeld, oftewel geen Full-disclosure zoals Ormandy nu heeft gedaan.