Google-udvikleren Tavis Ormandy har fundet og offentliggjort et sikkerhedshul i Windows XP og Windows Server 2003. Der bliver opdaget mange sårbarheder i Windows og andre programmer fra Microsoft, men normalt forsøger softwarefirmaet at holde informationerne hemmelige, indtil man er klar med en patch.
Tavis Ormandy informerede Microsoft om hullet den 5. juni og gik til offentligheden med informationerne kun fire dage senere, den 9. juni. Han begrunder det med, at sårbarheden allerede bliver udnyttet aktivt.
Men hos Microsoft er man alt andet end begejstret for denne afsløring. I denne blog udtrykker softwarefirmaet sin frustration. Microsoft mener at det er uansvarligt at afsløre hullet inden patchen er færdig og vurderer at det vil medføre en større risiko for brugerne.
Sikkerhedshullet kan udnyttes ved at integrere specielle kommandoer i en URL. Når offeret åbner denne URL, startes et værktøj til fjernadministration på computeren, hvor angriberen så kan udføre vilkårlige kommandoer på maskinen.
Ormandy har selv udsendt en hotfix, der skulle rette fejlen, men Microsoft mener at denne er stort set værdiløs. Microsoft har sine egne råd til, hvad man kan gøre for at minimere risikoen.
