Google-Ingenieur Tevis Ormandy hat eine Zero-Day-Lücke in Windows aufgedeckt und in einem Security Advisory veröffentlicht. Betroffen sind XP und Server 2003, wobei ein Angreifer durch einen Fehler in der Windows-Hilfe die Kontrolle über einen Computer übernehmen kann. Allerdings muss der Anwender zuvor eine manipulierte Webseite besuchen.
Wie Ormandy schreibt, habe er Microsoft schon vergangenen Freitag über das Problem informiert. Er sei nun aber zu der Überzeugung gekommen, dass Angreifer diese Komponente sehr wahrscheinlich schon studiert haben, und dass eine Veröffentlichung dieser Information der allgemeinen Sicherheit diene. In seinem Security Advisory nennt Ormandy als Möglichkeit, die Auswirkungen eines Angriffs zu minimieren, das Aufrufen eines Program Handlers in einem ASX HTMLView Element.
Microsoft soll gemäss "The Register" eine Untersuchung der Schwachstelle eingeleitet haben und will Details zur Sicherheitslücke bekannt geben, sobald das Ausmass des Fehlers bekannt ist.
