Google: Microsoft heeft Windows 10-lek niet gepatcht

[Captain Kirk]

Een beveiligingslek in Windows 10 dat door een Google-onderzoeker werd ontdekt is niet gepatcht, ook al geeft Microsoft aan dat dit wel is gedaan. Dat laat Google-onderzoeker James Forshaw weten die het probleem ontdekte. Forshaw waarschuwde Microsoft op 10 november vorig jaar voor twee lekken waardoor een aanvaller zijn rechten op een Windows 10-systeem eenvoudig kan verhogen.

Om de kwetsbaarheden te kunnen misbruiken moet een aanvaller wel al toegang tot een systeem hebben. Aangezien beide kwetsbaarheden in dezelfde functie van de Windows Storage Services werden gevonden vroeg Microsoft één CVE-nummer aan, te weten CVE-2018-0826. Via een CVE-nummer kan een kwetsbaarheid worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. Microsoft liet Forshaw weten dat het beide problemen deze maand in Windows 10 zou verhelpen. Het beveiligingsbulletin van Microsoft stelt ook dat CVE-2018-0826 is opgelost. Nu meldt Forshaw dat één van de twee problemen die hij rapporteerde niet is verholpen en een aanvaller zodoende nog steeds zijn rechten op een systeem kan verhogen.

Google geeft organisaties 90 dagen de tijd om een gerapporteerde kwetsbaarheid te verhelpen, waarna de details openbaar worden gemaakt. In dit geval werd de deadline op verzoek van Microsoft verlengd zodat de betreffende beveiligingsupdate tijdens de patchdinsdag van 13 februari kon worden uitgerold voordat de details online zouden verschijnen. Aangezien de extra tijd die Google aan Microsoft gaf om een update uit te rollen is verstreken zijn de details nu openbaar geworden, ook al is er voor de ene kwetsbaarheid nog geen patch beschikbaar. Onlangs maakte Google ook een probleem in Edge openbaar waar nog geen oplossing van Microsoft voor is.

 

 

bron: security.nl