Door Google-werknemer ontdekt Windows-lek misbruikt
Microsoft heeft tijdens de Patch Tuesday weer een aantal lekken gedicht waaronder eentje die door Google-beveiligingsexpert Tavis Ormandy werd onthuld eind mei. Dit lek werd onthuld nog voor Microsoft een patch kon ontwikkelen.
Tavis Ormandy was naar verluidt wel eerst naar Microsoft gegaan maar onthulde het lek kort daarna toch nog terwijl er nog geen patch voor was. Ormandy zou zelfs hebben gewerkt aan een exploitcode. Microsoft geeft aan dat hackers inderdaad misbruik hebben gemaakt van het lek maar laat zich niet uit of de onthulling van Ormandy de aanleiding was.
Ormandy-lek op Windows XP en Windows Server
Het lek zorgt er voor dat misbruik op afstand mogelijk is doordat het de mogelijkheid geeft om hogere rechten te verkrijgen op een kwetsbaar Windows-systeem. Het lek zit in Windows XP met SP3 t/m 8 en Server 2003 met SP2 t/m Server 2012.
Tavis Ormandy vs Microsoft
Ormandy liet zich via zijn blog negatief uit over Microsoft. Hij stelde dat het beveiligingsteam van Microsoft het moeilijk maakte om samen te werken. Maar toch vinden sommige beveiligingsonderzoekers dat geen reden om het lek openbaar te maken zonder Microsoft eerst in de gelegenheid te brengen een patch te ontwikkelen om gebruikers te beschermen. Google stelt dat Ormandy op persoonlijke titel heeft gehandeld en wil niet op de zaak ingaan.
Eén van de 34 lekken
In totaal worden deze patchronde 34 beveiligingslekken verholpen in Windows, IE, .NET Framework, Silverlight, GDI+ en zelfs de Windows Defender virusscanner. Zes van de lekken werden als kritiek bestempeld. Updaten kan via Windows Update.
[Via: Business Insider]