Google publiceert beveiligingslek in Windows voordat patch beschikbaar is

Abonneer je gratis op Techzine!

Google en Microsoft hebben het weer aan de stok met elkaar. Google heeft een beveiligingslek gevonden in Adobe Flash welke in Windows is te misbruiken. Om het lek te dichten moeten zowel Adobe als Microsoft een patch ontwikkelen en verspreiden Adobe heeft dat inmiddels gedaan, Microsoft nog niet, maar Google heeft al wel veel informatie over het beveiligingslek gepubliceerd.

Google heeft op zijn blog bekendgemaakt dat het op 21 oktober een zero-day beveiligingslek heeft gemeld aan Adobe en Microsoft. Eerstgenoemde kwam vijf dagen later met een patch voor Adobe Flashplayer, maar Microsoft heeft tot op heden nog geen patch ontwikkeld en verspreid. Aangezien het lek inmiddels wordt misbruikt door kwaadwillenden heeft Google de details rond het beveiligingslek gepubliceerd zodat bedrijven hun beveiliging kunnen aanscherpen.

Microsoft heeft inmiddels gereageerd dat het niet blij is met de publicatie van Google, omdat meer kwaadwillenden nu informatie kunnen inwinnen over het beveiligingslek en het mogelijk misbruiken. Microsoft gelooft en is voorstander van het gecoördineerd publiceren van beveiligingslekken, waarbij het bedrijf de tijd heeft gekregen een patch te ontwikkelen en verspreiden.

Google stelt echter dat het standaard 60 dagen de tijd geeft om een patch te ontwikkelen, tenzij het gevonden beveiligingslek actief wordt misbruikt, dan publiceert Google al na zes dagen het gevonden beveiligingslek.

Het beveiligingslek in kwestie kan ervoor zorgen dat een kwaadwillende volledige toegang krijgt tot het systeem. Het is namelijk mogelijk om via de Flashplayer uit de browser-sandbox te ontsnappen en commando’s uit te voeren op het systeem van het slachtoffer.