Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.

windows-gefikst

Op woensdag 16 november 2016 organiseert ZDNet samen met Smart Business en Business Meets IT een gratis seminar over Business Continuity. Meer informatie vind je hier.

Ontdek je een lek in belangrijke software, dan is het in de regel de bedoeling dat je de verantwoordelijken op de hoogte brengt. Bovendien geldt de ongesproken regel dat de locatie van het beveiligingsprobleem niet wereldkundig wordt gemaakt voor de verantwoordelijken de tijd hebben gekregen om het achterpoortje dicht te doen. Hoeveel tijd je daarvoor moet geven, lijkt van bedrijf tot bedrijf af te hangen.

Twee lekken

Google stuitte tien dagen geleden op een beveiligingslek in Windows. Via het lek krijgen hackers de mogelijkheid te hebben om uit een sandboxomgeving te ontsnappen en zich meer privileges in Windows toe te eigenen. Concreet kan je denken aan de manier waarop Chrome tabs in een virtuele zandbak draait om net te voorkomen dat eventuele malware ontsnapt.

Het lek kan echter enkel uitgebuit worden aan de hand van een ander beveiligingsprobleem in, hoe kan het ook anders, Flash. Google maakte het bestaan van beide lekken op 21 oktober bekend aan respectievelijk Microsoft en Adobe. Op 26 oktober rolde Adobe al een patch uit voor zijn plug-in maar Microsoft introduceerde voorlopig geen nieuwe beveiligingsupdate.

0 day-lek

Tien dagen is volgens Google voldoende om dergelijke problemen op te lossen, waardoor Google het bestaan van het lek vandaag wereldkundig maakte hoewel er nog geen goede veiligheidsmaatregelen bestaan. Wie zelf Flash patched zit in principe veilig, mensen die op Microsoft rekenen voor hun Windows-updates en minder goed zijn in het zelf up to date houden van hun systeem zijn nog steeds kwetsbaar.

[related_article id=”187455″]

Microsoft laat in een verklaring aan Venturebeat weten teleurgesteld te zijn in de werkwijze van Google. “Wij geloven in het gecoördineerd bekend maken van kwetsbaarheden. De bekendmaking van Google vandaag zorgt voor een potentieel risico voor onze klanten.” Wanneer we een Windows-patch mogen verwachten, zegt Microsoft niet. Het mag wel gezegd zijn dat het eenvoudiger is om snel een patch uit te rollen voor een webplugin als Flash dan voor een heel besturingssysteem, waar een eventueel foutje voor haast meer miserie kan veroorzaken dan het lek zelf.

Niet de eerste keer

Google van zijn kant vond het nodig om het lek al aan de grote klok te hangen omdat het momenteel actief uitgebuit wordt. Het is niet de eerste keer dat Google Microsoft in z’n blootje zet. Begin 2015 deelde de zoekgigant al twee niet gepatchte lekken in Windows 8.1 met het publiek. De acties van Mountain View liggen in lijn met het officiële beleid van Google. Daarin geeft het Alphabet-bedrijf ontwikkelaars zeven dagen de tijd om een gevonden probleem op te lossen alvorens het zelf actie onderneemt.

In afwachting van een officiële Windows-patch volstaat het om Adobe Flash te updaten om de achterdeur tijdelijk dicht te zetten. Een update zal dan binnenkort voor een permanentere oplossing zorgen. Flash zo weinig mogelijk gebruiken en de plug-in standaard uitschakelen, blijft natuurlijk een goed idee.

Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.