Het door de groep naar buiten gebrachte beveiligingslek zit in Windows Vista en Server 2008. Het kan worden misbruikt om een DoS-aanval (denial of service) uit te voeren op de doelcomputer of om op die machine meer rechten te verkrijgen.

'Geen ernstige bug'

Microsoft is echter niet bepaald onder de indruk van de nu onthulde bug. Volgens de Windows-fabrikant moeten aanvallers zich eerst fysiek toegang tot de machine verschaffen voor ze de bug kunnen uitbuiten. Dat schrijft Jerry Bryant van het Microsoft Security Response Center (MSRC) in een e-mail aan de IDG Nieuwsdienst. Ook schrijft hij dat de bug niet ernstig genoeg is om er een security advisory aan te wijden. Beveiligingsbedrijf Secunia heeft wel een advisory uitgebracht, maar classificeert de bug daarin als ‘less critical’.

Vijandig bejegend

Interessanter dan de bug is de manier waarop die openbaar is gemaakt. De bug komt van een groep anonieme onderzoekers, die zich eveneens MSRC noemt. Dit staat niet voor Microsofts beveiligingstak. “Vanwege vijandigheid tegen beveiligingsonderzoekers, met als meest recente voorbeeld Tavis Ormandy, is een aantal van ons uit de industrie (en een paar niet uit de industrie) bij elkaar gekomen en hebben we MSRC gevormd: de Microsoft-Spurned Researcher Collective."

"MSRC zal informatie over kwetsbaarheden die we in onze vrije tijd hebben gevonden volledig vrijgeven, zonder dat er maatregelen worden genomen tegen ons of onze werkgever”, schrijven de boze onderzoekers in hun bericht op de Full Disclosure mailing list.

Discussie over onthulling

Security-onderzoeker Tavis Ormandy kreeg veel kritiek over zich heen nadat hij een bug in Windows XP openbaar had gemaakt, die nu wordt misbruikt door hackers. Na dit incident barstte er een discussie los over Full Disclosure versus Responsible Disclosure.

Het bericht van MSRC is de jongste bijdrage in die al lang bestaande discussie in de security-wereld. Dat bericht is ondertekend door zes mensen, maar de namen zijn slechts weergegeven door kruisjes. Zij nodigen andere onderzoekers nu uit om met hen mee te doen. Daarvoor kunnen ze een mail sturen naar een hushmail adres. Werknemers van Microsoft zijn niet welkom.

Bron: Techworld.nl.