Onlangs is het nauwelijks verrassend om te horen dat een bedrijf beveiligingsproblemen heeft. Een van de nieuwste slachtoffers is Microsoft zelf, met recente kwetsbaarheden ontdekt in meerdere Microsoft-services, waaronder Windows, samen met Internet Explorer en Microsoft Edge-browsers.

Microsoft bevindt zich in het vizier van Project Zero

De problemen van Microsoft zijn opgepakt door Project Zero, een groep Google-medewerkers die kritieke beveiligingsproblemen in software willen opsporen en de ontwikkelaars hierover informeren. Als ontwikkelaars niet binnen een bepaalde tijd actie ondernemen, gaat Project Zero over tot het openbaar maken van de informatie, waardoor de ontwikkelaars zichtbaar worden en de gebruikers worden beschermd.

Voordat Microsoft met een oplossing kon komen (wat het lijkt te hebben geprobeerd, gezien de recente vertraging van de nieuwste beveiligingsupdates van Patch Tuesday), heeft een andere organisatie actie ondernomen en een oplossing voor het probleem geboden.

Het heil komt van een nieuwe "fixer" in de software-industrie bekend als 0patch. Ze hebben een fix gemaakt met dezelfde naam die zich richt op zero-day-bedreigingen, waaronder het bestand gdi32.dl dat Microsoft-hoofdpijn heeft veroorzaakt. De verhuizing van 0patch is toevallig omdat er geen teken van Microsoft was dat het tot maart beveiligingsupdates zou uitbrengen.

Dus wie is er verantwoordelijk voor de oplossing?

De ontwikkelaar achter 0patch, ACROS, streeft naar een oplossing die relevant blijft voor alle bedreigingen, omdat deze nieuwe en universele benaderingen biedt voor het bestrijden van bedreigingen - ze willen geen tijdelijke oplossing bieden die tegen een specifieke bedreiging werkt. Dit is wat ACROS zei:

“Microsoft zal dit probleem waarschijnlijk oplossen met hun volgende patch-dinsdag (14 maart), dus de onze is de enige patch die tot dan toe in de wereld beschikbaar is. We zullen ook proberen de andere 0-dagen die door Google worden onthuld, te micropatchen.

Hoewel patches van derden zeer waardevol zijn voor dergelijke nuldagen, verwachten we nog steeds dat de meeste patches van derden de "beveiligingsupdate-kloof" dekken waar een officiële fix al beschikbaar is maar wordt getest, waardoor gebruikers worden blootgesteld aan "reeds gepatchte kwetsbaarheden".”

Dat zullen we later zien…

Zal deze aanpak worden begroet door de Windows-gebruikersgemeenschap? Het zou immers een belangrijke en zelfs kritische beslissing zijn voor Windows-gebruikers om hun beveiliging in handen te geven van een externe ontwikkelaar.