De bug zit in Windows Vista en Server 2008 en kan worden gebruikt om een DoS-aanval uit te voeren of om meer rechten te krijgen op de computer. Microsoft is echter niet heel erg onder de indruk van de bug. Volgens de Reus uit Redmond moeten aanvallers zich eerst fysiek toegang tot de machine verschaffen voor ze de bug kunnen uitbuiten. Dat schrijft Jerry Bryant van MSRC in een e-mail aan de IDG nieuwsdienst. Ook schrijft hij dat de bug niet ernstig genoeg is om er een security advisory aan te wijden. Secunia heeft wel een advisory uitgebracht, maar noemt de bug daarin ‘Less critical’.

Interessanter dan de bug is eigenlijk de manier waarop die openbaar is gemaakt. De bug komt van een groep anonieme onderzoekers, die zich eveneens MSRC noemt. Dit staat echter niet voor Microsoft Security Response Center. “Vanwege vijandigheid tegen beveiligingsonderzoekers, met als meest recente voorbeeld Tavis Ormandy, zijn een aantal van ons uit de industrie (en een paar niet uit de industrie) bij elkaar gekomen en hebben MSRC gevormd: de Microsoft-Spurned Researcher Collective. MSRC zal informatie over kwetsbaarheden die we in onze vrije tijd hebben gevonden volledig vrijgeven, zonder dat er maatregelen worden genomen tegen ons of onze werkgever”, schrijven de boze onderzoekers in hun bericht op de Full Disclosure mailing list.

Tavis Ormandy kreeg veel kritiek over zich heen nadat hij een bug in Windows XP openbaar had gemaakt, die nu wordt misbruikt door hackers. Na dit incident barstte er een discussie los over Full Disclosure en Responsible Disclosure, waarvan het bericht van MSRC de jongste bijdrage is.

Het bericht is ondertekend door zes mensen, maar de namen zijn slechts weergegeven door kruisjes. Ze nodigen andere onderzoekers uit om met hen mee te doen. Daarvoor kunnen ze een mail sturen naar een hushmail adres. Werknemers van Microsoft zijn echter niet welkom.

Bron: Techworld