20 februari 2018 08:16

Google onthult ongepatcht lek in Microsoft Edge

Microsoft kreeg negentig dagen om het gat te dichten, maar slaagde daar niet in. Volgens Google zullen weinig mensen getroffen worden door het probleem.

Google meldde in november een kwetsbaarheid in Microsoft Edge, de browser die standaard geïnstalleerd is op Windows 10. De zoekgigant stelde Microsoft voor een ultimatum: als het gat na negentig dagen nog niet gedicht zou zijn, maakte Google het probleem openbaar. Dat is nu ook gebeurd, zo schrijft Neowin.

[related_article id=”220702″]

Het zou gaan om een kwetsbaarheid die draait om de Just in Time (JIT)-compiler van JavaScript. Een potentieel cyberboefje kan met dit lek de adressen van processen voorspellen. We hoeven ons alvast niet veel zorgen te maken: volgens Google zullen weinigen door het probleem getroffen worden.

Microsoft kreeg twee weken extra om een fix te voorzien, maar haalde ook die deadline niet. Volgens het concern is het probleem lastiger dan eerst gedacht. In eerste instantie dacht de software-ontwikkelaar dat het relatief eenvoudig te patchen was en dat de termijn van negentig dagen zou volstaan. De patch zou nu ingepland staan op 13 maart.

Hanengevecht

Een Google-onderzoeker van Project Zero vond de fout. Voortdurend gaat het Google-team op zoek naar kwetsbaarheden in software van Google en andere bedrijven. Standaard geeft de technologiereus negentig dagen de tijd aan bedrijven om met een oplossing voor de dag te komen. Enkel als het exploit vaak misbruikt wordt binnen die termijn, maken ze de zwaktes eerder bekend.

Microsoft is waarschijnlijk niet opgetogen met het nieuws. De twee reuzen zijn al jaren rivalen en zijn in het verleden al meermaals elkaar in de haren gevlogen. Microsoft bekritiseerde Google in oktober nog om het bugbountyplatform. Volgens hen is negentig dagen niet voldoende om een grootschalige bug op te lossen.