Windows 8 krijgt toch spoedpatch voor 0-day in IE10

Microsoft wacht toch niet tot 26 oktober om een 0-day gat in Flash te dichten op Windows 8. De ingebakken browser IE10 heeft Flash ingebouwd, wat Adobe niet kan updaten.

Microsoft volgt het voorbeeld van Google door Adobe's multimediatechnologie Flash te embedden in zijn webbrowser, op Windows 8. In tegenstelling tot de maker van Chrome voert Microsoft updates niet automatisch door voor zijn browser. De aankomende versie 10 van Internet Explorer komt op Windows 8 ook in een aparte uitvoering voor de nieuwe Metro-gui (graphical user interface).

Wachten op Microsoft
Adobe heeft eind vorige maand een patch uitgebracht voor Flash als losstaande installatie. Die update dicht diverse beveiligingsgaten, waarvan details inmiddels dus publiekelijk bekend zijn. Cybercriminelen voeren al gerichte aanvallen uit met malware die deze gaten misbruikt. Microsoft waarschuwt zelf ook voor het gevaar van de grootste Flash-kwetsbaarheid in de door Adobe wél gedichte lading.

Deze kwetsbaarheden zitten ook in IE10 op Windows 8, zowel in de Metro-variant als de desktop-uitvoering van de Microsoft-browser. De Windows-maker moet zelf met een update komen voor het ingebakken Flash, ook in het voor tablets gemaakte Windows RT. Die patch liet eerst op zich wachten, maar komt nu in zicht. Dat is eerder dan eerst verwacht hoewel het nog onbekend is wanneer de Windows-patch voor IE10 komt.

Windows 8 komt op 26 oktober uit voor de consumentenmarkt, en is dan ook voorgeïnstalleerd op nieuwe pc's. Microsoft heeft zijn nieuwe besturingssysteem echter al uitgebracht voor zakelijke gebruikers, waaronder it-beheerders en developers. Abonnees van respectievelijk TechNet en MSDN (Microsoft Developer Network) hebben net zoals grootzakelijke klanten met een software-abonnement al toegang tot Windows 8. Zij zijn dus al enkele weken onveilig.

Toch eerder patchen
In eerste instantie lieten woordvoerders van Microsoft weten dat het bedrijf IE10 patcht "indien nodig", maar dat de Flash-kwestie gefixt wordt op het moment van algemene beschikbaarheid van Windows 8. Daarmee zou het 0-day gat openblijven van eind augustus tot eind oktober. Nu meldt Microsoft dat het "op korte termijn" met een update komt voor Adobe Flash in IE10.

Communicatiedirecteur Yunsun Wee van Microsofts Trustworthy Computing-initiatief mailt dit in antwoord op vragen van tech-journalist Ed Bott. Zij laat weten dat de twee softwarebedrijven hecht samenwerken om die update uit te brengen. "Uiteindelijk is het ons doel om de Flash Player in Windows 8 altijd veilig en up-to-date te hebben, en om ons release-schema zo dicht mogelijk af te stemmen op dat van Adobe."

'Eind komende week'
Een anonieme bron informeert Bott nog dat de patch voor het einde van komende week wordt uitgebracht, via Windows Update. Dat automatische update-mechanisme heeft eerder al bèta's van Windows 8 voorzien van patches, ook voor IE10. Microsoft biedt al wel tips om de Flash-kwetsbaarheid af te dekken, maar dit is een complexe workaround.