image

Google onthult ongepatcht lek in Windows 8.1

donderdag 1 januari 2015, 10:37 door Redactie, 5 reacties

Google heeft afgelopen dinsdag een lek in Windows 8.1 onthuld waarvoor nog geen beveiligingsupdate beschikbaar is. De kwetsbaarheid werd op 30 september van vorig jaar aan Microsoft gerapporteerd. Aangezien de softwaregigant niet binnen 90 dagen met een patch kwam, besloot Google informatie over het lek automatisch te openbaren.

Google heeft een speciaal team genaamd "Project Zero" dat naar kwetsbaarheden in allerlei software zoekt. In het geval van een lek worden de betreffende ontwikkelaars of leveranciers ingelicht en krijgen vervolgens drie maanden de tijd om het probleem op te lossen. Als er niet binnen de deadline een oplossing komt, wordt de bugmelding automatisch zichtbaar voor het publiek.

In het geval van de kwetsbaarheid in Windows 8.1 kan een aanvaller hierdoor zijn rechten op het systeem verhogen. Hiervoor moet de aanvaller al toegang tot de computer hebben, bijvoorbeeld via een ander lek of geldige inloggegevens. Het is echter niet de eerste keer dat onderzoekers van Google een kwetsbaarheid in Windows openbaren waarvoor nog geen update beschikbaar is.

Ook dit keer zorgt de gepubliceerde bugmelding voor allerlei kritiek, hoewel er ook voorstanders zijn die zeggen dat Microsoft voldoende tijd heeft gekregen. "Ik kan het niet geloven dat een bedrijf als Google tijdens de feestdagen automatisch een lek in miljarden pc's openbaar maakt", aldus één van de critici. "Aanvallers nemen geen vrij omdat het de feestdagen zijn. Microsoft heeft steken laten vallen en geen security assessment van de nieuwe features uitgevoerd voordat ze in productie gingen, en nu zitten wij met de gevolgen", aldus iemand die de kant van Google kiest.

Optimale aanpak

Microsoft stelt in een verklaring dat het aan een beveiligingsupdate werkt. Inmiddels heeft ook Google op alle ophef gereageerd. De zoekgigant stelt dat de deadline op dit moment de meest optimale aanpak voor het beschermen van gebruikers is. Het geeft ontwikkelaars namelijk voldoende tijd om een oplossing te ontwikkelen, terwijl ook het recht van gebruikers om van kwetsbaarheden te weten wordt gerespecteerd. Op deze manier weten gebruikers met welke risico's ze te maken hebben.

"Met dat gezegd hebbende houden we de gevolgen van dit beleid nauwlettend in de gaten. We willen dat onze beslissingen door data gedreven zijn, en we zoeken continu naar verbeteringen die de veiligheid van gebruikers ten goede komen", aldus onderzoeker Ben Hawkes van Project Zero. Hij merkt op dat uit de cijfers blijkt dat de meeste lekken die het team meldt binnen de deadline worden opgelost.

Reacties (5)
01-01-2015, 10:51 door Anoniem
zit die Google niet ergens in het register van Win OS ook niet.

Geen idee wat dat daar staat te doen, weg met die handel dus.

Er blijkt zelfs nog Netscape in te staan in het register van Win OS versies.

Netscape Old School, of vergis ik mij nu?
01-01-2015, 12:56 door Spiff has left the building
Nogal erg off topic bij het onderwerp "Google onthult ongepatcht lek in Windows 8.1",
maar niettemin toch even een reactie hierop:
Door Anoniem, 10:51 uur:
zit die Google niet ergens in het register van Win OS ook niet.
Geen idee wat dat daar staat te doen, weg met die handel dus.
Heb je CCleaner (of andere Piriform software) op je systeem (of gehad)?
Heb je CCleaner geïnstalleerd (en/of geupdate) en daarvoor de standaard CCleaner installer gebruikt (i.p.v. de Slim versie of Portable versie), dan zijn in het Windows register de voorkeuren voor Google Chrome en Google Toolbar opgeslagen:
HKEY_LOCAL_MACHINE\SOFTWARE\Google\No Chrome Offer Until
HKEY_LOCAL_MACHINE\SOFTWARE\Google\No Toolbar Offer Until
Bij een volgende CCleaner update zal op basis daarvan bepaald worden wanneer het mee-installeren van Google Chrome en Google Toolbar opnieuw wordt aangeboden (na een halfjaar, als ik me niet vergis).
Wellicht geldt hetzelfde voor andere Piriform software, en voor andere software die Google Chrome of Google Toolbar mee-aanbiedt bij installatie.
Da's alles.
01-01-2015, 16:06 door Anoniem
Misschien met de eerste patchdinsdag van dit jaar wel,ze werken er hart aan.
Maar goed het is misschien erg moeilijk programmeerwerk,om dit probleem op te lossen.
02-01-2015, 00:37 door Anoniem
@Anoniem: Mozilla Firefox is gebaseerd op Netscape. Het is goed mogelijk dat er "under the hood" nog zo nu en dan de naam "Netscape" wordt gebruikt.
02-01-2015, 08:15 door Anoniem
4e alinea, één na laatste woord (Google), moet daar niet 'Microsoft' staan?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.