Googles Project Zero-beveiligingsteam heeft opnieuw details van een kwetsbaarheid in Windows naar buiten gebracht, zonder dat Microsoft daar een patch voor heeft ontwikkeld. Google geeft de ernst van het lek de inschatting 'gemiddeld'.
Google-onderzoeker James Forshaw schrijft in een bericht op de bugtracker dat het .Net-lek van toepassing is op versies van Windows 10 die gebruikmaken van de Device Guard-techniek voor bescherming tegen malware, bijvoorbeeld Windows 10 S. Hij meldt dat de kwetsbaarheid het uitvoeren van code mogelijk maakt, maar dat dit niet op afstand mogelijk is en dat het ook niet om een techniek gaat om hogere rechten te verkrijgen op een systeem. Een aanvaller zou al in staat moeten zijn om code op het systeem uit te voeren om het lek te misbruiken. Forshaw noemt het voorbeeld van een rce-lek in de Edge-browser.
Hij meldde het lek op 19 januari aan Microsoft, dat hem op 12 februari op de hoogte stelde dat er geen patch zou komen in de maandelijkse patchronde in april. Daarna vroeg het om uitstel en zei later dat het een patch zou uitbrengen met de release van Redstone 4. De onderzoeker zei dat er voor die release geen exacte datum bekend is en dat het probleem niet bijzonder ernstig is omdat er ook andere technieken bestaan die hetzelfde doel bereiken, die ook nog niet zouden zijn opgelost door Microsoft. Google hanteert een deadline van 90 dagen.
Deze heeft al eerder tot het publiceren van Microsoft-kwetsbaarheden geleid zonder dat er een patch aanwezig was. Bijvoorbeeld vorig jaar en eind 2016 deed zich hetzelfde verschijnsel voor, waarop Microsoft in het laatste geval met kritiek reageerde. Google zou met de beslissing te publiceren een risico voor gebruikers in het leven geroepen hebben.