Google onthult ongepatcht beveiligingslek in Windows

[Captain Kirk]

Google heeft een beveiligingslek in Windows onthuld waardoor aanvallers gevoelige informatie uit het geheugen kunnen stelen, zoals gebruikersgegevens, en waar nog geen update van Microsoft voor beschikbaar is. Via de gestolen informatie zou een aanvaller het systeem verder kunnen aanvallen.

De kwetsbaarheid bevindt zich in het Microsoft Graphics Component (GDI) en is in alle ondersteunde Windows-versies aanwezig, van Vista tot en met Windows 10. Om de kwetsbaarheid uit te buiten moet een aanvaller het slachtoffer een kwaadaardige EMF-afbeelding laten openen. Dit kan bijvoorbeeld door het embedden van een dergelijke afbeelding in een Word-document of html-pagina, zo waarschuwt het Nationaal Cyber Security Center (NCSC) van de overheid.

Google had het probleem op 17 november vorig jaar aan Microsoft gerapporteerd. Standaard hanteert de internetgigant een deadline van 90 dagen, waarna informatie over de kwetsbaarheid openbaar wordt gemaakt, ongeacht of de leverancier in kwestie al een update heeft uitgerold om het probleem te verhelpen. Mogelijk dat Microsoft van plan was het beveiligingslek deze week te patchen, maar de softwaregigant besloot om alle beveiligingsupdates deze maand uit te stellen en te verplaatsen naar dinsdag 14 maart.

Naast informatie over de kwetsbaarheid heeft Google ook proof-of-concept-code online gezet om het lek te demonstreren. Afgelopen december patchte Microsoft ook al een soortgelijke kwetsbaarheid in het GDI-onderdeel. Google-onderzoekers hebben in het verleden vaker kwetsbaarheden in Windows naar buiten gebracht zonder dat er een update beschikbaar was. Twee keer maakten cybercriminelen van de vrijgegeven informatie gebruik om Windows-gebruikers aan te vallen.

 

 

bron: security.nl