Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord
abonneren

Google maakt zero-day in Windows openbaar zonder fix van Microsoft

Google heeft een lek in Windows openbaar gemaakt, nog voordat Microsoft dat heeft weten te repareren. Dat heeft het bedrijf veel kritiek opgeleverd, al zegt Google wel dat het lek actief werd uitgebuit.

Het gaat om een zero-day in Adobe Flash, waarmee een hacker buiten de sandbox-omgeving van Flash kan komen en onderdelen van Windows kan overnemen. Google heeft informatie over het lek online gezet.
 

Flash

Dat deed het bedrijf 7 dagen nadat het melding had gemaakt bij zowel Adobe als Microsoft. Adobe repareerde het lek al snel, maar Microsoft niet. Daarom besloot Google publiek te gaan met het lek. Volgens Google speelde ook mee dat de zero-day bekend was én werd gebruikt, al specificeert de zoekgigant niet door wie of op welke manier dat gebeurt.
 

KRitiek

De situatie is zowel Google als Microsoft op veel kritiek komen te staan. Google wordt verweten het lek veel te snel openbaar te hebben gemaakt, terwijl Microsoft het lek allang had moeten dichten - zeker als het bedrijf wist dat het actief werd misbruikt.
 

Responsible disclosure

Google heeft een responsible disclosure-beleid waarin staat dat het na 7 dagen publiek gaat met een lek. Dat betekent specifieker dat Google 'onderzoekers helpt om details openbaar te maken, waardoor gebruikers zelf actie kunnen ondernemen zichzelf te beschermen'. In veel andere responsible disclosure wordt 7 dagen gezien als een bijzonder korte tijd om een bug te repareren.

Aan de andere kant zou Microsoft veel te traag zijn met het repareren van het lek. Het bedrijf heeft na 7 dagen nog niet aangegeven dat het überhaupt werkt aan een fix, laat staan die uitrolt naar gebruikers.
 

Reactie

Microsoft heeft inmiddels een reactie gegeven aan VentureBeat waarin het bedrijf kritiek uit op Google. "Microsoft gelooft in het samenwerken om beveiligingslekken op te pakken, maar Google maakt gebruikers nu kwetsbaar door dit lek bekend te maken." Het bedrijf zegt echt niets over een mogelijke fix.

Geschreven door: Tijs Hofmans op

Category: Nieuws, Algemeen

Tags: Zero Day, responsible disclosure, google

Nieuws headlines

Laatste reactie