หลังจาก CERT Warning Microsoft นำเสนอ AutoRun Fix

Microsoft กำลังผลักดันให้มีการอัพเดตซอฟต์แวร์ให้กับผู้ใช้ Windows บางรายที่แก้ไขข้อบกพร่องในซอฟต์แวร์ Windows AutoRun โดยอัตโนมัติเพื่อเปิดตัวโปรแกรมเมื่อดีวีดีหรืออุปกรณ์ USB ถูกนำไปใช้กับพีซี

การแก้ไขข้อบกพร่อง (US-CERT) ได้ออกประกาศเตือนความปลอดภัยว่า Windows ไม่สามารถปิดใช้งาน AutoRun ได้อย่างถูกต้องใน Windows 2000, XP และ Server 2003

"ปิดใช้งาน AutoRun on ระบบ Microsoft Windows ช่วยป้องกันการแพร่กระจายของโค้ดที่เป็นอันตราย "CERT กล่าวในที่ปรึกษาของ CERT "แนวทางของไมโครซอฟต์ในการปิดใช้งาน AutoRun ไม่ได้ผลอย่างสมบูรณ์ซึ่งอาจถือได้ว่าเป็นช่องโหว่"

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

Microsoft กล่าวว่าผู้ใช้ด้านเทคนิคสามารถปิดใช้งาน AutoRun โดย การตั้งค่ารีจิสทรีของ Windows ที่เรียกว่า NoDriveTypeAutoRun เป็น 0xFF ปัญหาก็คือแม้จะมีชุดค่านี้ Windows บางรุ่นจะเปิดใช้งานโปรแกรม AutoRun เมื่อผู้ใช้คลิกที่ไอคอนของอุปกรณ์โดยใช้ Windows Explorer

นั่นอาจหมายถึงปัญหาใหญ่สำหรับผู้ใช้บางรายเนื่องจากหนอน Conficker แพร่หลายใช้ AutoRun เพื่อกระจายจากอุปกรณ์ USB ไปยังเครื่องคอมพิวเตอร์

มีการอภิปรายภายในภายใน Microsoft ว่า Windows ควรเปิดใช้การทำงานอัตโนมัติโดยค่าเริ่มต้นหรือไม่เนื่องจากซอฟต์แวร์อาจถูกนำไปใช้อย่างผิดพลาด AutoRun ช่วยติดตั้งซอฟต์แวร์ป้องกันไวรัสของ Sony rootkit ที่ฉาวโฉ่ในพีซีของผู้ใช้เมื่อ 4 ปีก่อน

แม้ว่าไมโครซอฟท์จะกล่าวถึงการแก้ไขดังกล่าวในฐานะการปรับปรุงที่ไม่มีการรักษาความปลอดภัย แต่แพทช์ "แน่นอนว่ามีความหมายด้านความปลอดภัย" Ben Greenbaum ผู้จัดการอาวุโสฝ่ายวิจัยกล่าว กับ Symantec Security Response "มันช่วยให้ผู้ใช้ที่คาดหวัง - ด้วยเหตุผลที่ดี - มีการป้องกันระดับหนึ่งจากคุณลักษณะนี้เพื่อให้ได้ระดับการป้องกันที่แท้จริง"

ปรากฎว่าไมโครซอฟท์ได้ผลิตแพทช์สำหรับปัญหานี้ไว้แล้ว ผู้ใช้สามารถดาวน์โหลดตัวเองได้จนถึงเดือนพฤษภาคม 2551 นอกจากนี้ยังได้ผลักดันให้มีการปรับปรุงข้อมูลในเดือนกรกฎาคมที่แก้ไขปัญหาสำหรับ Vista และ Server 2008; แต่โปรแกรมแก้ไขนี้ไม่ได้รับการปรับปรุงโดยอัตโนมัติสำหรับผู้ใช้ Windows 2000, XP และ Server 2003 จนถึงวันอังคาร