Google brengt Windows-gebruikers opnieuw in gevaar

Op 29 december 2014 en 11 januari 2015 maakte Google onder dat regime informatie openbaar over twee lekken die Microsoft op het punt stond te patchen. Eén van de twee patches moest Microsoft overigens overhaast uitbrengen; een verzoek aan Google om een maandje uitstel bij het publiceren werd niet gehonoreerd.

Vlak na maandelijkse patchronde

Vlak na Microsofts maandelijkse patchronde brengt Google opnieuw informatie over twee problemen in Windows naar buiten, omdat de termijn van 90 dagen is overschreden. Eén van de twee betreft een foutje zonder ernstige beveiligingsimplicaties, maar de ander heeft wat meer om de hakken. Onder omstandigheden blijkt Windows bij cryptografische operaties de identiteit van de gebruiker niet goed te checken, waardoor data mogelijk niet goed versleuteld worden.

Microsoft had een patch klaar voor deze tweede bug, maar moest die te elfder ure terugtrekken omdat er compatibiliteitsproblemen bleken te bestaan. Dat zijn complicaties waar Googles publicatieschema geen rekening mee houdt: het heeft de informatie zonder blikken of blozen openbaar gemaakt.

Reden voor Googles acties onduidelijk

Wat Google tot deze starheid beweegt, is niet duidelijk. Voorkomen dat leveranciers bugs eindeloos ongepatcht laten, is op zich een loffelijk streven. Maar hoe dat streven gediend is bij het in gevaar brengen van zovele pc-gebruikers terwijl je weet dat er aan een oplossing voor het probleem gewerkt wordt, vergt nog wel enige uitleg van Google.