Vrijdag 17/09/2021

Kwetsbaarheid

Google brengt Microsoft in verlegenheid door onthulling lek

Het lek bevindt zich in Windows 8.1 Beeld microsoft
Het lek bevindt zich in Windows 8.1Beeld microsoft

Microsoft is niet blij dat Google informatie heeft vrijgegeven over een lek in Windows 8.1, nog voordat Microsoft dat kon oplossen. Pas morgen komt Microsoft met een patch die het lek zal verhelpen.

De onderzoekers van Google ontdekten het beveiligingsprobleem eind september, en gaven Microsoft negentig dagen om het beveiligingsprobleem op te lossen. Microsoft haalde die deadline niet, waarop Google details over de kwetsbaarheid naar buiten bracht.

Microsoft zegt nu dat het de patch dinsdag uit gaat brengen, tijdens zijn reguliere Patch Tuesday-beveiligingsronde. Het bedrijf is echter niet blij dat Google informatie over het lek naar buiten heeft gebracht voordat de patch is uitgerold. "De beslissing van Google voelt niet principieel aan, maar meer als een gotcha, waarbij consumenten de dupe zijn", schrijft Chris Betz van de beveiligingsafdeling van Microsoft.

Het bedrijf stelt dat beveiligingsproblemen pas naar buiten zouden moeten worden gebracht als het probleem is opgelost. Dat zou gebruikers beter beschermen tegen misbruik van het beveiligingsprobleem. Volgens Google zet de deadline van negentig dagen bedrijven juist onder druk om problemen eerder op te lossen, waardoor de impact van beveiligingsproblemen wordt verminderd.

Twee dagen wachten

Microsoft schrijft dat het Google heeft gevraagd om 'twee dagen' te wachten met het naar buiten brengen van informatie over het beveiligingsprobleem, tot de patch tuesday-ronde. Google bracht de informatie echter al eind 2014 naar buiten; waarschijnlijk bedoelde Microsoft dan ook twee weken in plaats van dagen.

Het beveiligingsprobleem zorgt ervoor dat een reguliere gebruiker op Windows 8.1 zonder toestemming administrator-rechten krijgt. Daarvoor moet een gebruiker wel een geldige login hebben en fysieke toegang hebben tot het apparaat. Het probleem werd gevonden door Project Zero, een beveiligingsteam van Google. Bedrijven krijgen negentig dagen de tijd om gevonden beveiligingsproblemen te patchen; daarna brengt het team de kwetsbaarheid naar buiten.

Meer over

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234