Microsoft heeft opnieuw het bestaan van een “per ongeluk” vergeten kwetsbaarheid bekendgemaakt. Het gaat om een beveiligingslek in de antivirussoftware Defender, aangeduid als (CVE-2023-24934). Via het beveiligingslek kan een aanvaller door middel van een speciaal geprepareerd bestand detectie door de Defender-virusscanner voorkomen.
Microsoft had tijdens de patchdinsdag van april beveiligingsupdates voor het probleem uitgebracht, maar het bestaan van de kwetsbaarheid niet bekendgemaakt. Dat is nu alsnog gedaan. Microsoft maakte tijdens de patchronde van april verschillende beveiligingslekken bekend die het eerder al had gepatcht. Het gaat om kwetsbaarheden in Microsoft SQL Server, Windows Graphics Component en Windows Remote Procedure Call Service.
Vanwege de “per ongeluk” vergeten update voor SQL Server kreeg Microsoft nog felle kritiek van securitybedrijf ZDI, dat het techbedrijf betichtte van het “stilletjes patchen” van kwetsbaarheden.