Se ha identificado una nueva vulnerabilidad en Windows que puede permitir a un atacante ejecutar comandos arbitrarios. Los detalles del exploit ya han sido publicados y hasta este momento Microsoft no ha liberado ningún parche.
Tavis Ormandy, investigador de seguridad de Google, fue quien descubrió este problema, el cual reportó a Microsoft el pasado 5 de junio y tan sólo cuatro días más tarde decidió hacer público. La vulnerabilidad se encuentra en la aplicación «Help and Support Center» (utilizada para ofrecer documentación en línea de Windows) y es provocada por un fallo en el manejo de URLs hcp://.
El gigante de Redmond confirmó en su blog de seguridad la vulnerabilidad y dijo que afecta a Windows XP y Windows Server 2003; otras versiones no se han encontrado vulnerables. Además, la empresa criticó el que Ormandy revelara los detalles de la vulnerabilidad y no les diera tiempo suficiente para cerrarla.
Microsoft se encuentra investigando el problema, pero no ha anunciado cuándo lanzará una actualización. Por lo pronto, ha publicado una solución temporal que elimina el registro del protocolo HCP. Aunque esto «evita» la vulnerabilidad, los links de ayuda y algunos vínculos del Panel de Control dejarán de funcionar.
