Microsoft kantoorgebouw

Google onthult Windows beveiligingslek (ongepatcht)

Laatst bijgewerkt: 29 januari 2019
Leestijd: 1 minuut, 16 seconden

Google heeft bekendgemaakt dat er een beveiligingslek in Windows is ontdekt. Via het beveiligingslek kunnen aanvallers mogelijk informatie (zoals gebruikersgegevens) uit het geheugen stelen. Met deze informatie heeft de aanvaller de sleutel in handen waarmee hij het systeem verder kan aanvallen. Voor het beveiligingslek is nog geen patch beschikbaar.

De kwetsbaarheid die Google ontdekte zit in het Microsoft Graphics Component (GDI). Dit component zit in alle ondersteunde versies van Windows, van Vista tot en met Windows 10.

Hoe gaat een aanval in zijn werk

Om de kwetsbaarheid in Windows te kunnen benutten, moet de aanvaller er voor zorgen dat het slachtoffer een kwaadaardige EMF-afbeelding opent. Aanvallers kunnen deze afbeelding bijvoorbeeld embedden in een afbeelding in een Word-document of html-pagina. Het Nationaal Cyber Security Center (NCSC) van de overheid waarschuwt voor deze werkwijze.

Windows beveiligingslek nog niet gepatcht

Op 17 november 2016 rapporteerde Google het probleem aan Microsoft. Volgens het standaard beleid van Google kreeg Microsoft daarna 90 dagen de tijd om in stilte het probleem op te lossen. Na die tijd, kan Google de informatie over de kwetsbaarheid openbaar maken. Of het probleem tegen die tijd verholpen is, maakt dan niet meer uit. In dit geval zijn de 90 dagen voorbij en is de kwetsbaarheid niet gepatcht. Wellicht dat Microsoft van plan was dit in de komende update te doen. Echter, die update is verplaatst naar dinsdag 14 maart en laat dus nog even op zich wachten.

Nu de 90 dagen voorbij zijn, zette Google de informatie over het Windows beveiligingslek online. Daarnaast publiceerde Google ook een proof-of-concept-code om het lek te demonstreren.

Hoofdauteur:

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen

Op zoek naar een VPN?

Bekijk ons overzicht met de meest betrouwbare, snelle en veilige VPN-services.
Uitgebreid getest door experts.

Bekijk welke VPN het beste bij je past