Onlangs heeft het Project Zero-team van Google publiekelijk een kwetsbaarheid onthuld die de Windows-besturingssystemen van Microsoft treft. Daarom schaamt de techgigant Microsoft zich opnieuw voor het niet op tijd patchen van een ernstige kwetsbaarheid.
Google onthult een Windows-kwetsbaarheid die Microsoft niet kan patchen
Google’s Project Zero is gewijd aan het onderzoeken en ontdekken van beveiligingslekken in de besturingssystemen en applicaties die beschikbaar zijn. Met goed gedefinieerde regels om deze fouten openbaar te maken, zal het ze uiteindelijk vrijgeven, zelfs als ze niet zijn opgelost.
Dat is wat er nu gebeurde, opnieuw, met een ernstige fout in Windows die openbaar werd gemaakt, zelfs zonder dat Microsoft het definitief had opgelost.
De fout, die nu openbaar is gemaakt, treft alle versies van Windows die nog worden ondersteund en stelt elke aanvaller in staat om gegevens uit het geheugen van het besturingssysteem te stelen. Het doel is het bestand gdi32.dll, dat kwetsbaar is.
Het feit dat het nu wordt onthuld, is niet in strijd met de regels van Project Zero, aangezien er 90 dagen zijn verstreken sinds het werd gemeld aan Microsoft, dat het tot nu toe nog niet definitief heeft opgelost.
Dit probleem is verholpen door Microsoft, dat al een repareren, maar heeft zo’n storing blijkbaar nog niet kunnen oplossen. De laatste melding van Google vond plaats op 16 november, waarbij bleek dat de crash nog aanwezig was in de GDI-bibliotheek. Na de drie maanden die zijn gesteld, heeft Google de fout openbaar gemaakt.
Hoewel het een ernstige mislukking is, wordt voorlopig niet verwacht dat het op een massale manier kan worden uitgebuit, omdat het fysieke toegang tot de machines vereist zodat de gegevens worden gestolen. Het is echter niet meer dan normaal dat Microsoft deze fout snel zal corrigeren voordat er meer geavanceerde manieren van misbruik kunnen worden ontdekt.
Dit is een vergelijkbare situatie als in november 2016, toen Google nog een fout in Windows aan het licht bracht, maar dit keer slechts tien dagen nadat het werd ontdekt en Microsoft op de hoogte bracht.
Nadat de release van beveiligingsupdates voor de komende maand is uitgesteld, wordt nu, onder druk van Google, verwacht dat dit probleem zo snel mogelijk moet worden opgelost.