ZDI onthult ongepatcht Windows-lek nadat Microsoft deadline mist

[Captain Kirk]

Het Zero Day Initiative (ZDI), onderdeel van anti-virusbedrijf Trend Micro, heeft voor de tweede keer dit jaar een beveiligingslek in Windows onthuld waar nog geen beveiligingsupdate van Microsoft voor beschikbaar is en waardoor een aanvaller kwaadaardige code op het systeem kan uitvoeren.

De kwetsbaarheid bevindt zich in de Microsoft JET Database Engine. Een aanvaller kan het beveiligingslek gebruiken om willekeurige code met de rechten van de ingelogde gebruiker uit te voeren. Hiervoor moet de gebruiker wel eerst een kwaadaardig bestand openen. Het beveiligingslek is bevestigd in Windows 7, maar volgens het ZDI zijn ook andere Windows-versies kwetsbaar.

De kwetsbaarheid werd op 8 mei van dit jaar aan Microsoft gerapporteerd. Zes dagen later bevestigde de softwaregigant het probleem. Het ZDI betaalt onderzoekers voor het rapporteren van onbekende kwetsbaarheden. Informatie over deze lekken wordt vervolgens aan de beveiligingsproducten van Trend Micro toegevoegd. Daarnaast wordt de leverancier geïnformeerd, die vervolgens 120 dagen de tijd krijgt om de kwetsbaarheid te verhelpen.

Op 11 september liet Microsoft weten dat de update niet op tijd gereed zou zijn. Nu de deadline van 120 dagen is verstreken heeft het ZDI de kwetsbaarheid openbaar gemaakt. Het bedrijf deed dit ook al in juni van dit jaar met een andere kwetsbaarheid in Windows. Google maakte eerder dit jaar een ongepatcht beveiligingslek in Edge openbaar. Het is echter niet alleen Microsoft dat hiermee te maken krijgt. Vorige week overkwam het Apple omdat het niet op tijd met een beveiligingsupdate voor een lek in Safari kwam.

 

 

bron: security.nl