Microsoft heeft security-bulletins uitgebracht over lekken die zijn werknemers hebben ontdekt in Google Chrome en in Opera. Deze gaten zijn al gedicht: door Google in september en december vorig jaar, door Opera in oktober vorig jaar.

Ontdekkers David Weston en Nirankush Panchbhai van Microsoft hebben een gat in Chrome en een html5-lek in Chrome en Opera gevonden. Het eerste lek maakte het mogelijk om kwaadaardige code uit te voeren, maar die was dan nog wel beperkt in de afgeschermde zone (sandbox) die Chrome heeft voor webpagina’s en elementen (code) daarop. Het tweede lek was door kwaadwillenden te gebruiken om privégegevens van websurfers buit te maken.

Niet meer besloten

Deze twee bulletins van Microsoft zijn de eerste ooit waarin het bedrijf melding doet van gaten in andermans producten. Er zullen nog meer van dit soort bulletins komen, maar op onregelmatige basis. Dat gebeurt dan op basis van noodzakelijkheid, zegt directeur Mike Reavey van het Microsoft Security Response Center (MSRC) tegen Computerworld.com.

“Als we een kwetsbaarheid vinden in een product van een andere leverancier, dan brengen we zelf een security advisory uit”, aldus Reavey. Microsoft doet al sinds 2008 security-onderzoek naar producten van derden, zoals Google en Opera. Het heeft een aparte, besloten procedure voor het melden van gevonden gaten aan de softwaremakers. Die procedure is nu dus niet langer besloten: Microsoft meldt lekken openlijk.

Ook vóór patch

Dat doet het bedrijf overigens niet alleen nadat de kwetsbaarheden zijn verholpen. De beveiligingsbulletins van Microsoft kunnen ook gepubliceerd worden voordat de maker van de desbetreffende software een patch klaar heeft voor gebruikers, bevestigt Reavey. “Als er in de praktijk aanvallen plaatsvinden, dan zullen we een advisory uitbrengen.”

Volgens de Microsoft-topman gebeurt dat dan wel “meestal met workarounds en beperkende maatregelen”. Reavey zegt dat Microsoft vervolgens wel blijft coördineren met de maker van de getroffen software. In geen geval zal Microsoft een advisory publiceren over andermans software zonder eerst contact op te nemen en samen te werken met die andere leverancier, benadrukt de security-directeur.

‘Verantwoordelijk onthullen’

Volgens Reavey is de openlijke melding een uitbreiding van het beleid voor ‘disclosure’ van kwetsbaarheden, dat afgelopen zomer is gelanceerd. De Windows-producent heeft toen zijn omstreden standpunt voor het stilhouden van lekken - ook door externe ontdekkers - omgegooid. Daarbij koos het echter niet voor de door security-experts geprezen aanpak van ‘full disclosure’ (informatie over lekken en tegenmaatregelen openlijk onthullen).

In plaats van het door Microsoft zelf geprefereerde ‘responsible disclosure’ (melden van lekken aan softwareproducenten en dan zwijgen) stelde het bedrijf een tussenvorm voor: ‘coordinated vulnerability disclosure’. Die procedure stelt afstemming voor tussen ontdekkers van lekken en softwaremakers. Volgens criticasters komt dat in de praktijk vaak toch neer op stilhouden, omdat softwareproducenten onthulling van informatie zien als “het onnodig in gevaar brengen van klanten”.

Intimidatie

“Maak me wakker als Microsoft een officieel beleid heeft over het niet bedreigen of intimideren van beveiligingsonderzoekers”, tweet security-expert Tavis Ormandy van Google cynisch. Hij heeft diverse diepgaande grote gaten ontdekt in zowel Windows als Linux. Zijn werk - en de onthulling van zijn ontdekkingen - heeft hem de woede van Microsoft opgeleverd en de discussie over het onthullen van lekken weer aangewakkerd.