Google onthult ongepatcht lek in Windows 8.1

[Captain Kirk]

Google heeft afgelopen dinsdag een lek in Windows 8.1 onthuld waarvoor nog geen beveiligingsupdate beschikbaar is. De kwetsbaarheid werd op 30 september van vorig jaar aan Microsoft gerapporteerd. Aangezien de softwaregigant niet binnen 90 dagen met een patch kwam, besloot Google informatie over het lek automatisch te openbaren.

Google heeft een speciaal team genaamd "Project Zero" dat naar kwetsbaarheden in allerlei software zoekt. In het geval van een lek worden de betreffende ontwikkelaars of leveranciers ingelicht en krijgen vervolgens drie maanden de tijd om het probleem op te lossen. Als er niet binnen de deadline een oplossing komt, wordt de bugmelding automatisch zichtbaar voor het publiek.

In het geval van de kwetsbaarheid in Windows 8.1 kan een aanvaller hierdoor zijn rechten op het systeem verhogen. Hiervoor moet de aanvaller al toegang tot de computer hebben, bijvoorbeeld via een ander lek of geldige inloggegevens. Het is echter niet de eerste keer dat onderzoekers van Google een kwetsbaarheid in Windows openbaren waarvoor nog geen update beschikbaar is.

Ook dit keer zorgt de gepubliceerde bugmelding voor allerlei kritiek, hoewel er ook voorstanders zijn die zeggen dat Microsoft voldoende tijd heeft gekregen. "Ik kan het niet geloven dat een bedrijf als Google tijdens de feestdagen automatisch een lek in miljarden pc's openbaar maakt", aldus één van de critici. "Aanvallers nemen geen vrij omdat het de feestdagen zijn. Microsoft heeft steken laten vallen en geen security assessment van de nieuwe features uitgevoerd voordat ze in productie gingen, en nu zitten wij met de gevolgen", aldus iemand die de kant van Google kiest.

Optimale aanpak

Microsoft stelt in een verklaring dat het aan een beveiligingsupdate werkt. Inmiddels heeft ook Google op alle ophef gereageerd. De zoekgigant stelt dat de deadline op dit moment de meest optimale aanpak voor het beschermen van gebruikers is. Het geeft ontwikkelaars namelijk voldoende tijd om een oplossing te ontwikkelen, terwijl ook het recht van gebruikers om van kwetsbaarheden te weten wordt gerespecteerd. Op deze manier weten gebruikers met welke risico's ze te maken hebben.

"Met dat gezegd hebbende houden we de gevolgen van dit beleid nauwlettend in de gaten. We willen dat onze beslissingen door data gedreven zijn, en we zoeken continu naar verbeteringen die de veiligheid van gebruikers ten goede komen", aldus onderzoeker Ben Hawkes van Project Zero. Hij merkt op dat uit de cijfers blijkt dat de meeste lekken die het team meldt binnen de deadline worden opgelost.

 

bron: security.nl