Vorige week kwam Adobe met een noodpatch voor een kritiek Flash-gat, ook naar aanleiding van een ontdekking van Google. Tegelijk met dat gat bracht Google ook Microsoft op de hoogte van een kwetsbaarheid in win32k.sys die actief wordt misbruikt door aanvallers.

Actief misbruik

Daar volgde geen noodpatch voor en om de druk te verhogen, brengt Google het probleem naar buiten. De twee bedrijven botsen wel vaker over responsible disclosure, omdat Google Windows-gaten snel op straat gooit.

Details over het gat ontbreken, dus aanvallers zullen er moeite voor moeten doen om het probleem zelf op te sporen. Google is normaal gesproken met 60 dagen - of er nu een reactie is van een leverancier of niet - al vrij vlot in het openbaren van kwetsbaarheden. Maar voor iets dat actief wordt misbruikt, wacht Google officieel 7 dagen voor het gewag maakt van het probleem.

Microsoft not amused

Microsoft is duidelijk niet blij met deze gang van zaken. "We geloven in geco├Ârdineerde openbaring van kwetsbaarheden en de disclosure van Google stelt klanten bloot aan een potentieel gevaar", aldus het bedrijf in een verklaring tegen onder meer VentureBeat.

Volgens die site wordt het vorige week gepatchte Flash-gat gebruikt voor de aanval. Dat zou betekenen dat hij zich voordoet bij gebruikers met Windows 7, 8.1 en 10, in combinatie met de browser-plugin voor Flash versie 23.0.0.185 of eerder.