Lek in Windows aangegrepen voor cyberaanvallen

Ormandy kreeg indertijd stevige kritiek omdat hij concurrent Microsoft er niet eerst van op de hoogte had gesteld. Microsoft had daardoor niet de gelegenheid om de fout te herstellen met een beveiligingsupdate voordat aanvallers met de kwetsbaarheid aan de haal gingen. Daarmee was een zogeheten 'zero-day' lek - een geopenbaarde kwetsbaarheid waarvoor nog geen patch bestaat - geboren.

Geen bedankje voor ontdekking

Dat het optreden van Ormandy kwaad bloed heeft gezet bij Microsoft blijkt wel uit het feit dat de Google-medewerker niet het gebruikelijke bedankje krijgt in de toelichting op de beveiligingsupdate (MS13-053) die Microsoft dinsdag heeft uitgegeven. Een reeks andere onderzoekers, onder wie ook Google-medewerker Mateusz Jurczyk, krijgen die erkenning wel. Bij alle andere beveiligingsupdates die Microsoft dinsdag uitgaf staat vermeld dat de lekken in kwestie 'privately' zij gemeld, dat wil zeggen alleen aan de softwareleverancier zodat die gelegenheid krijgt om oplossingen tebedenken.

Google-onderzoeker: communicatie met Microsoft moeizaam

Microsoft wilde gisteren nog niet ingaan op de vraag of het bedrijf Ormandy medeschuldig vindt aan de cyberaanvallen. De securityspecialist van Google had overigens eerder geklaagd dat het moeizaam communiceren was met de beveiligingsafdeling van Microsoft. Hij adviseerde collega's om - als het dan toch nodig is - alleen anoniem bij Microsoft melding te maken van beveiligingslekken.

Een overzicht van Ormandy's wapenfeiten sinds 2006 staat op website OSVDB. In totaal ontdekte hij tot dusver 105 kwetsbaarheden in softwareproducten.