Security experts pleiten Microsoft en Juniper tot een jaar-oude IPv6 kwetsbaarheid patchen zo gevaarlijk het kan elke Windows-machine op een netwerk te bevriezen in een kwestie van minuten.
Microsoft heeft het risico gebagatelliseerd, omdat het gat is een fysieke verbinding met het bekabelde netwerk. Juniper zegt dat het een patch uitgesteld, omdat het gat alleen van invloed op een klein aantal van haar producten en het wil dat de IETF om het protocol te repareren plaats.
Hij kwetsbaarheid werd in eerste instantie ontdekt in juli 2010 door Marc Heuse, een IT-beveiliging consultant in Berlijn. Hij vond dat de producten van verschillende leveranciers kwetsbaar waren, met inbegrip van alle recente versies van Windows, Cisco routers, Linux en Juniper Netscreen. Cisco gaf een patch in oktober 2010, en de Linux kernel is inmiddels ook bevestigd. Microsoft en Juniper hebben de kwetsbaarheid erkend, maar geen van beiden hebben toegezegd patches.
Het gat is een techniek die bekend staat als router advertenties, waarbij routers zenden hun IPv6-adressen om te helpen klanten te vinden en aan te sluiten op een IPv6-subnet. De DoS-aanval houdt overstromingen het netwerksegment met willekeurige RA's, die vreet CPU-bronnen in Windows, totdat de CPU overbelast en een harde reboot is vereist. "Voor Windows, een persoonlijke firewall of een soortgelijke beveiliging product biedt geen bescherming tegen deze aanval, omdat de regels standaard filter zodat deze pakketten door middel van", legt Heuse.
Heuse werd zo gefrustreerd met de weigering van Microsoft om het gat te repareren dat Hij publiceerde zijn bevindingen aan de Full Disclosure mailinglist op 15 april Hij merkt op dat Microsoft niet heeft zelfs gaf een beveiligingsadvies waarschuwing gebruikers van het probleem. Andere Windows-netwerken en security experts hebben ook aangedrongen Microsoft om het probleem op te lossen, en de bronnen hebben gezegd dat er ook medewerkers van binnen Microsoft die hebben geprobeerd om het bedrijf te stoten tot actie.
Microsoft heeft weinig te zeggen over de onderwerpen.
"Microsoft is op de hoogte van de besprekingen in de Veiligheidsraad van de gemeenschap met betrekking tot een techniek waarmee een Windows-server of werkstation op een doel netwerk ongevraagde hoge gebruik van hulpbronnen veroorzaakt door een aanvaller kwaadaardige uitzenden IPv6-router advertenties kunnen ervaren. De aanval methode beschreven
zou vereisen dat een would-be aanvaller link-lo