Компания Microsoft подтвердила 10 июня, что операционные системы Windows XP и Windows Server 2003 содержат ошибку, которую теоретически можно использовать для заражения ПК, при посещении пользователем мошеннического вебсайта или открытии электронного письма. При этом Microsoft заявила, что не сталкивалась с использованием этой уязвимости в реальности.

Источником ошибки в очередной раз стал «Центр справки и поддержки», который разрешает пользователям получать доступ и загружать файлы помощи Microsoft из Сети. Операционные системы Windows Vista, Windows 7, Windows Server и Windows Server 2008 R2 от подобных атак защищены.
Компания планирует выпустить исправление для этой уязвимости, однако сроков пока не называет. Следующее плановое обновление выйдет во вторник 13 июня, хотя, Microsoft иногда выпускает «заплатки» и между запланированными датами. В последний раз это произошло в конце марта, когда обнаружилась активно использовавшаяся злоумышленниками уязвимость в Internet Explorer.

Интересно, что нашел ошибку сотрудник Google Тевис Орманди (Tavis Ormandy). Он сообщил Microsoft об уязвимости 5 июня, после чего, 10 июня привел код атаки в списке рассылки Full Disclosure. «Если бы я сообщил о проблеме без приложения рабочего эксплойта, меня бы проигнорировали, - написал Тевис Орманди и добавил, что действовал самостоятельно, а не от имени Google. – Этот документ содержит мое собственное заключение. Я не представляю никого, кроме самого себя».

Напомним, что в данный момент отношения между Microsoft и Google несколько натянуты: Google занят переводом своих служащих с Windows на другие ОС, не в последнюю очередь, из-за проблем с безопасностью.