Na CERT-waarschuwing, verstrekt Microsoft AutoRun Fix

Microsoft pusht een software-update naar sommige Windows-gebruikers die een bug repareert in de Windows AutoRun-software, die wordt gebruikt om automatisch programma's te starten wanneer dvd's of USB-apparaten op de pc worden geïntroduceerd.

De bugfix is ​​geleverd via de standaard automatische updatesystemen van Microsoft komt een maand nadat het Amerikaanse Computer Emergency Readiness Team (VS-CERT) een veiligheidswaarschuwing gaf waarin werd gewaarschuwd dat Windows AutoRun niet correct had uitgeschakeld in Windows 2000, XP en Server 2003.

"AutoRun uitschakelen op Microsoft Windows-systemen kunnen de verspreiding van kwaadaardige code helpen voorkomen, "zei CERT in zijn advies. "De richtlijnen van Microsoft voor het uitschakelen van AutoRun zijn echter niet volledig effectief, wat als een kwetsbaarheid kan worden beschouwd."

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Microsoft had gezegd dat technische gebruikers AutoRun kunnen uitschakelen door instellen van een Windows-registerwaarde met de naam NoDriveTypeAutoRun naar 0xFF. Het probleem was dat, zelfs met deze ingestelde waarde, sommige versies van Windows AutoRun-programma's lanceerden telkens wanneer de gebruiker op het pictogram van een apparaat klikte met Windows Verkenner.

Dat zou voor sommige gebruikers grote problemen kunnen opleveren, omdat de wijdverspreide Conficker-worm AutoRun gebruikt om van USB-apparaten naar pc's te verspreiden.

Er is binnen Microsoft intern gesproken over de vraag of Windows standaard AutoRun moet inschakelen, omdat de software kan worden misbruikt. AutoRun hielp vier jaar geleden met de installatie van de beruchte Sony rootkit-software voor kopieerbeveiliging op pc's van gebruikers.

Hoewel Microsoft de oplossing beschrijft als een niet-beveiligingsupdate, heeft de patch "zeker gevolgen voor de veiligheid", zegt Ben Greenbaum, senior research manager met Symantec Security Response. "Het biedt gebruikers die verwachtten - met goede reden - een bepaald niveau van bescherming buiten de functie om daadwerkelijk dat niveau van bescherming te krijgen."

Het bleek dat Microsoft eigenlijk een patch voor het probleem had geproduceerd, die gebruikers konden zichzelf downloaden, al in mei 2008. Het had ook een update uit juli weggedrukt die het probleem voor Vista en Server 2008 had opgelost; maar deze oplossing is tot dinsdag niet automatisch bijgewerkt voor gebruikers van Windows 2000, XP en Server 2003.