Google heeft deze week een kwetsbaarheid in Windows 8.1 openbaar gemaakt, omdat Microsoft te laat was met het patchen van de bug. De fout werd ontdekt door een team beveiligingsonderzoekers dat onder de naam Project Zero opereert.
De bug maakt het voor reguliere Windows 8.1-gebruikers mogelijk om zonder toestemming administrator-rechten te verkrijgen. Hierdoor krijgen zij toegang tot functionaliteiten waar zij normaal niet bij horen te kunnen. Wel moeten de gebruikers daarvoor beschikken over geldige login-gegevens en bovendien fysiek bij het bewuste apparaat kunnen, zegt Microsoft tegen Engadget.
Beveiligingsonderzoekers van Google kwamen de fout in september op het spoor. Zij maken deel uit van Project Zero, dat vorig jaar werd gestart en het internet veiliger zou moeten maken. De onderzoekers pogen met het onderzoeksproject het aantal ‘zero day’-beveiligingsproblemen te doen afnemen. Daarbij nemen zij ook de software van andere bedrijven onder de loep.
Google heeft de kwetsbaarheid deze week openbaar gemaakt. De internetgigant stelde Microsoft naar eigen zeggen in september al op de hoogte, maar die softwarefabrikant verzuimde om de bug binnen de gestelde termijn van negentig dagen te pletten. Volgens Google zou dit daarom het publiek maken van de bug – inclusief relevante informatie en een proof-of-concept – rechtvaardigen.
De vraag is in hoeverre Google er goed aan doet een kwetsbaarheid openbaar te maken. Daarover is nu namelijk een levendige discussie ontstaan. Sommigen menen dat publicatie de veiligheid niet ten goede komt. Google verweert zich echter door te zeggen dat computergebruikers ernaar kunnen handelen zodra ze van het bestaan van de bug weten. Microsoft zegt aan een patch te werken.