Microsoft dicht beveiligingslekken die door Google werden onthuld
Voor de eerste Patch Tuesday van 2015 heeft Microsoft acht veiligheidsupdates vrijgegeven voor de desktop- en serveredities van Windows. Eentje is gemarkeerd als kritiek, de rest als belangrijk. Daarnaast is er een update voor de Internet Explorer-patch van vorige maand en een update voor het ingebouwde Adobe Flash Player-component in Internet Explorer 11.
Dankzij een wijziging in Microsofts geavanceerde veiligheidsnotificatiebeleid hebben de meeste klanten vorige week geen waarschuwing gehad. Die eer is enkel nog gereserveerd voor klanten met betaalde Premier-supportcontracten en organisaties die betrokken zijn bij veiligheidsonderzoek.
[related_article id=”161452″]
Twee van de acht updates zijn opgenomen als reactie op publiek bekend gemaakte problemen in plaats van de gebruikelijke privé gemelde problemen. Google wordt niet met naam genoemd in een van de veiligheidsbulletins, maar de punten MS15-001 en MS15-003 zijn een directe reactie op onthullingen die de zoekmachinegigant onlangs heeft gedaan in lijn met zijn streng beleid om veiligheidsproblemen die het ontdekt na 90 dagen publiek te maken.
Updates
De enige kritieke update, MS15-002, repareert een zwakke plek in de Windows Telnet-dienst waardoor hackers in staat zijn code van afstand uit te voeren. Deze update is essentieel voor installaties van Windows Server.
De kans is minimaal dat je er last van hebt als je Windows op een desktop-pc of laptop draait. Telnet is een optionele component en wordt standaard niet geïnstalleerd op Windows Vista en latere versies. Dus tenzij je moeite hebt gedaan om het op je computer te krijgen, loop je geen risico.
MS15-004, hoewel niet aangegeven als kritiek, moet waarschijnlijk bovenaan je updatelijst staan. Volgens de reacties wordt deze kwetsbaarheid, een combinatie van de Remote Desktop-cliënt en TS WebProxy-component, in beperkte mate gebruikt voor gerichte aanvallen als een sandbox-bypass. Het raakt alle ondersteunde versies van Windows, behalve Windows Server 2003.
De twee updates die het nauwst in de gaten worden gehouden, zijn de kern van een lelijk conflict tussen Microsoft en Google deze maand. MS15-001 en MS15-003 zijn het resultaat van zwakke plekken ontdekt door onderzoekers van Google. Beide bugs werden zero-daykwetsbaarheden nadat Google zijn eigen 90 dagen deadline bereikte en de zwakke plekken automatisch bekendmaakte.
Het eerste bulletin identificeert een bug in de Windows Application Compatibility Cache. Deze is 30 september 2014 voor het eerst gemeld voor James Forshaw van Google. Daarna is hij op 29 december na negentig dagen automatisch bekendgemaakt. Deze zwakke plek is terug te vinden in Windows Server 2008 R2 en latere versies (maar niet Windows Server Core), net als in Windows 7, Windows 8 en Windows 8.1.
Het tweede bulletin gaat om een kwetsbaarheid in de Windows User Profile-dienst. Deze zwakke plek, ook ontdekt door James Forshaw, is op 13 oktober ingevoerd in Googles Security Research Database en na negentig dagen automatisch bekendgemaakt. Dat was op 11 januari. De bug raakt alle ondersteunde versies van Windows.
Te vroeg onthuld
Op 11 november, binnen een maand na de ontdekking van deze tweede bug, verscheen een opmerking in de database van Google dat Microsoft van plan was om de patch in februari 2015 vrij te geven, maar dat Google zijn deadline van 90 dagen niet kan verlengen. Hieruit blijkt de grote manco tussen de agenda van Google en de updateprocedures van Microsoft. Microsoft heeft het testproces voor deze patch daarom versneld, om de problemen deze maand al te verhelpen.
Helaas voor Windows-gebruikers verliep de deadline van Google twee dagen voor het verschijnen van de patch. Dat betekent dat de zwakke plek in de code publiekelijk bekend werd voordat deze verholpen was. De kans is groot dat we in de toekomst meer van dergelijke conflicten zullen zien tussen Google en Microsoft, en dat is een nachtmerrie voor die laatste.
Microsoft moet in dat geval het proces versnellen om de zwakke plek te bevestigen, een oplossing te identificeren, de patch te testen en ervoor te zorgen dat hij naar behoren werkt zonder ongewenste bijwerkingen – iets wat recent niet altijd het geval is. En dat alles in een periode van om en nabij twee maanden. Als Microsoft een maand langer wacht, wordt het automatisch een zero-daykwetsbaarheid.
Een voor de hand liggende oplossing is dat Google toegeeft dat zowel Microsoft als Adobe het updateproces hebben gestandaardiseerd, en op de tweede dinsdag van elke maand patches en updates vrijgeven. Als de zoekmachinegigant de deadline zo aanpast dat deze pas valt na die datum, is dat probleem verholpen. Het vereist echter ook een betekenisvolle samenwerking tussen Google en Microsoft, en dat lijkt momenteel een onwaarschijnlijk scenario. Spijtig voor de eindgebruiker, die er de dupe van is.