Ongepatcht Windows-lek onthuld nadat Microsoft deadline mist

[Captain Kirk]

Het Zero Day Initiative (ZDI), een securitybedrijf dat onderzoekers betaalt voor het melden van onbekende kwetsbaarheden, heeft een beveiligingslek in Windows geopenbaard waarvoor nog geen update beschikbaar is en waardoor een aanvaller op afstand code kan uitvoeren.

Alleen het bezoeken van een gehackte of kwaadaardige website of het openen van een speciaal geprepareerd bestand is voldoende. De kwetsbaarheid bevindt zich in de manier waarop er binnen JScript met foutobjecten wordt omgegaan. Microsoft werd op 23 januari over het probleem ingelicht. Precies drie maanden later liet Microsoft weten dat het problemen had om de kwetsbaarheid zonder proof-of-concept exploit te reproduceren. Een dag later op 24 april stelde het ZDI dat de exploit al met de eerste bugmelding in januari was verstuurd en stuurde de exploit opnieuw.

Op 1 mei bevestigde Microsoft de ontvangst van de exploit. Het ZDI geeft organisaties 120 dagen de tijd om een gemelde kwetsbaarheid te verhelpen, waarna de details openbaar worden gemaakt. Microsoft wist dit en vroeg het ZDI om meer tijd voordat de details online zouden verschijnen. Het ZDI weigerde dit en heeft nu beperkte details van de kwetsbaarheid online gezet. Als tijdelijke oplossing adviseert het securitybedrijf om de interactie met applicaties tot alleen vertrouwde bestanden te beperken. De volgende patchcyclus van Microsoft staat gepland voor dinsdag 12 juni.

 

 

bron: security.nl