Microsoft heeft toegegeven dat de kwetsbaarheid die onlangs in het algoritme van de pseudo-random number generator aangetroffen werd, niet alleen in Windows 2000 aanwezig is, maar ook in Windows XP is terug te vinden.
De softwaregigant bestempelt het probleem echter niet als een acuut veiligheidsrisico. De zwakke plek in de prng van Windows 2000 werd met behulp van reverse-engineering ontdekt door Israëlische onderzoekers. Door de fout kan een aanvaller encryptiesleutels achterhalen die nog voor een hackpoging zijn verzonden. Ook kunnen toekomstige sleutels afgeleid worden. De random-generator vormt een cruciaal onderdeel van het Windows OS, doordat een groot aantal applicaties gebruikmaken van het onderdeel.
In een reactie op de bevindingen van de Israeliërs laat Microsoft nu weten dat de prng van Windows XP ook kwetsbaar is, omdat de code van de random-generator vrijwel identiek zou zijn aan die van Windows 2000. Windows Vista, Windows Server 2003 en de nog uit te komen Windows Server 2008 zouden volgens de softwaregigant wel beschikken over een gemodificeerde of een andere random-generator die ongevoelig blijkt voor de aanval, zo schrijft Computerworld.
Verder is Microsoft van mening dat de kwetsbaarheid van het algoritme in Windows 2000 en XP geen acuut gevaar vormt. Het probleem zou volgens de softwaregigant vooral theoretisch van aard zijn. Bovendien heeft een aanvaller administrator-rechten nodig om een aanval op de prng uit te kunnen voeren. Toch is Microsoft van plan om het probleem van de random-generator voor XP-gebruikers op te lossen door in het derde Service Pack voor XP een patch mee te nemen. SP3 moet in de eerste helft van volgend jaar verschijnen.
De softwaregigant hield echter de lippen stijf op elkaar over een mogelijke security-fix voor Windows 2000-gebruikers. Het OS doet nog dienst bij negen procent van alle Europese en Amerikaanse zakelijke gebruikers, maar nadert het einde van de ondersteuningsperiode door Microsoft. Omdat de softwaregigant de kwetsbaarheid niet als een acuut gevaar ziet, is het hoogst twijfelachtig of het OS nog van een patch wordt voorzien.