Google onthult ongepatcht lek in Internet Explorer en Edge

[Captain Kirk]

Na eerder al een ongepatcht beveiligingslek in Windows te hebben onthuld heeft Google ook een kwetsbaarheid in Edge en Internet Explorer geopenbaard waar nog geen update van Microsoft voor beschikbaar is. Via het lek kan een aanvaller in het ergste geval willekeurige code op het systeem uitvoeren, zoals het installeren van malware.

De voorbeeldaanval die Google online heeft gezet zorgt er echter voor dat de browser alleen crasht. Microsoft werd op 25 november door Google over het lek ingelicht. Standaard hanteert Google een deadline van 90 dagen, waarna informatie over de kwetsbaarheid openbaar wordt gemaakt, ongeacht of de leverancier in kwestie al een update heeft uitgerold om het probleem te verhelpen. Mogelijk dat Microsoft van plan was het beveiligingslek tijdens de patchdinsdag van februari te patchen, maar de softwaregigant besloot om alle beveiligingsupdates deze maand uit te stellen en te verplaatsen naar dinsdag 14 maart.

Google-onderzoekers hebben in het verleden vaker kwetsbaarheden in Windows naar buiten gebracht zonder dat er een update beschikbaar was. Twee keer maakten cybercriminelen van de vrijgegeven informatie gebruik om Windows-gebruikers aan te vallen.

 

 

bron: security.nl