Google onthult voor derde keer ongepatcht Windows-lek

[Captain Kirk]

Voor de derde keer in korte tijd heeft Google een beveiligingslek in Windows onthuld waarvoor nog geen patch van Microsoft beschikbaar is. De kwetsbaarheid is ontdekt door het "Project Zero Team" van Google, dat speciaal naar kwetsbaarheden in veelgebruikte software zoekt.

Zodra er een lek wordt gevonden krijgt de betreffende leverancier 90 dagen de tijd om met een update te komen, anders worden de details van de kwetsbaarheid automatisch openbaar gemaakt. Eind december en afgelopen zondag publiceerde de zoekgigant twee kwetsbaarheden in Windows 8.1, tot woede van Microsoft. Eén van de lekken werd namelijk twee dagen later al gepatcht en Microsoft had dan ook gevraagd of de deadline iets verschoven kon worden, maar daar gaf Google geen gehoor aan.

Na "Issue 118" en "Issue 123" is nu voor de derde keer een ongepatcht Windowslek openbaar gemaakt, aangeduid als "Issue 128". In dit geval gaat het volgens Google om een situatie in Windows 7 en Windows 8.1 waardoor het mogelijk is voor een gebruiker om zich als iemand anders voor te doen en vervolgens gegevens voor die inlogsessie te versleutelen of te ontsleutelen. Dit zou in bepaalde situatie met kwetsbare services een probleem kunnen zijn.

"Het gedrag kan natuurlijk zo ontworpen zijn, maar doordat ik niet bij het ontwerp betrokken was is dit lastig te bepalen. De documentatie meldt dat de gebruiker zich als de client moet voorstellen, wat volgens mij inhoudt dat hij in naam van de client moet kunnen handelen in plaats van zich als de client te identificeren", aldus onderzoeker Ben Forshaw. Microsoft liet Google weten het probleem naar alle waarschijnlijkheid in februari te zullen verhelpen. Oorspronkelijk stond de update al voor januari gepland, maar die werd wegens compatibiliteitsproblemen teruggetrokken.

 

bron: security.nl