Microsoft haast zich om 'Google-bugs' te patchen
Google hanteert sinds enige tijd de stelregel dat het informatie over lekken die zijn beveiligingsonderzoekers aantreffen, 90 dagen na melding aan de betrokken leverancier openbaar maakt. Daarmee wil Google voorkomen dat bekende lekken eindeloos ongepatcht blijven - wat niet zelden voorkwam en waarschijnlijk nu ook nog regelmatig voorkomt. Maar dus niet bij lekken die Googles beveiligingsonderzoekers ontdekken.
Shutterstock
Shutterstock
Rond de jaarwisseling werd Microsoft twee keer in zijn hemd gezet door Google. Eerst met de openbaarmaking van een lek in Windows Application Compatibility Cache, die alle moderne varianten van Windows op pc's en servers treft. En daarna met een lek in de Windows User Profile Service, die in alle Windows-versies zit.
Microsoft ontstemd
Microsoft reageerde ontstemd op Googles acties. Het vindt dat Google wel erg lichtzinnig omspringt met de belangen van de enorme groep Windows-gebruikers. Na publicatie van de details van een lek worden die Microsoft-klanten immers meteen kwetsbaar voor kwaadwillenden die het proberen te exploiteren. De stemming werd er bij Microsoft ongetwijfeld niet beter op toen Google desgevraagd weigerde de openbaarmaking op te schorten tot februari - omdat dan zeker een patch klaar zou zijn. 90 dagen is 90 dagen, was Googles antwoord. Dat daardoor de details van het tweede lek 2 dagen voor de Patch Tuesday van januari op straat kwamen te liggen, leidde al evenmin tot een verandering in Googles opstelling.
Bij de verzameling patches die Microsoft gisteravond publiceerde, blijken toch ook patches te zitten voor de bugs die Google 'zero day' maakte. Die zitten in de bulletins MS15-001 en MS15-003. Kennelijk heeft Microsoft zich gehaast om deze issues op te lossen. Of dat goed nieuws is, staat te bezien. De laatste maanden heeft Microsoft nogal wat patches - en zelfs enkele patches van patches - opnieuw moeten uitbrengen omdat ze problemen veroorzaakten. Het risico dat dat opnieuw gebeurt als het ontwikkel- en testproces ervan onder druk wordt gezet, is natuurlijk levensgroot aanwezig; maar tot op heden zijn er geen meldingen van problemen ontvangen.
Slechts één kritieke patch
Microsofts eerste Patch Tuesday van 2015 omvat 8 beveiligingsbulletins. De enige die een kritiek lek beschrijft is bulletin MS15-002. Die behandelt een lek in de Windows Telnet Service in alle Windows-varianten. De andere 7 hebben de kwalificatie 'belangrijk'. Dat wil zeggen dat deze zich niet lenen voor misbruik zonder enige vorm van onbedoelde medewerking van het slachtoffer.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee