Google verhelpt beveiligingslek in Windows 8.1

Een door Google ontdekt lek in Windows 8.1 wordt maar niet gepatcht en daarom brengt Google het probleem zelf naar buiten. Microsoft nuanceert dat de impact beperkt is.

Het lek in kwestie werd al op 30 september door Google aangekaart bij Microsoft. Maar drie maanden later werd het nog niet opgelost. Dat zet de advertentiegigant aan om zelf de wereld op de hoogte te brengen over het lek en hoe het te misbruiken. Door de zogenaamd eElevation of Privilege kwestie kan een gebruiker administratorrechten op een machine verkrijgen.

Doorgaans is het de regel dat wanneer je een lek ontdekt de ontwikkelaar (in dit geval Microsoft) op de hoogte brengt zodat er een patch kan worden ontwikkeld vooraleer er publiekelijk over het probleem wordt gecommuniceerd. Google benadrukt in een reactie dat het dit gedaan heeft, maar dat het daarbij dedlines van 90 dagen hanteert. "Dit geeft software vendors een redelijke en eerlijke tijd om de kwetsbaarheden op te lossen, in combinatie met het recht van de gebruiker om op de hoogte te zijn van risico's;"

Microsoft geeft van zijn kant een heel ander antwoord en zegt dat het wel degelijk werkt aan een update. Maar merkt daarbij op dat een aanvaller in praktijk fysieke toegang tot een machine nodig heeft met inloggegevens van het toestel zelf. Dat maakt dat het probleem niet van op afstand door vreemden kan worden misbruikt.

In samenwerking met Datanews