Windows

Googles Project Zero-beveiligingsteam heeft de details van een Windows-lek bekendgemaakt, omdat Microsoft te lang op zich liet wachten met het uitbrengen van een patch. Microsoft stelde vorige week zijn maandelijkse patch tuesday uit.

In een bericht legt Google-onderzoeker Mateusz Jurczyk uit dat het lek deel uitmaakte van een verzameling kwetsbaarheden die hij eerder al aan Microsoft had gemeld. Het bedrijf heeft in juni een patch voor de lekken uitgebracht, maar deze blijkt niet alle problemen verholpen te hebben. Het lek met kenmerk CVE-2017-0038 maakt het mogelijk voor een aanvaller om via emf-bestanden het geheugen uit te lezen. Dit kan via Internet Explorer en andere applicaties die gebruikmaken van de Graphics Device Interface.

De onderzoeker vraagt zich af of de patch vorige week had moeten uitkomen als onderdeel van patch tuesday. Microsoft liet weten dat het de patchronde had uitgesteld, omdat er op het laatste moment een probleem aan het licht kwam. Het gaf geen verdere details over de aard van het probleem. Doordat Microsoft patches voortaan bundelt, werden andere patches ook door het uitstel vertraagd. De release van de updates staat nu gepland op 14 maart, maakte het bedrijf bekend.

Het is niet de eerste keer dat het Google-team een kwetsbaarheid publiceert voordat Microsoft een patch heeft uitgebracht. Eind vorig jaar deed zich hetzelfde verschijnsel voor, waarop Microsoft met kritiek reageerde. Google zou met de beslissing te publiceren een risico voor gebruikers in het leven geroepen hebben. Het team hanteert een deadline van negentig dagen, waarna het overgaat tot publicatie van een lek.

Reacties mogelijk gemaakt door CComment