Microsoft kritisiert Google für Offenlegung von Windows-8.1-Lücke

Google hat vor kurzem eine Sicherheitslücke in Windows 8.1 öffentlich gemacht, zwei Tage bevor Microsoft diese gestopft hat. Das Redmonder Unternehmen ist deswegen sauer, da man zuvor das Suchmaschinenunternehmen gebeten hatte, damit zu warten, ... mehr... Patch-Day, Microsoft Patch Day, Windows Logo, Pflaster Bildquelle: PC Games Patch-Day, Microsoft Patch Day, Windows Logo, Pflaster Patch-Day, Microsoft Patch Day, Windows Logo, Pflaster PC Games

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Genau da liegt das Problem. Nicht jeder Fehler ist so etwas simples wie ein Bufferoverflow oder ähnliches. Oft sind es auch weitaus komplexere Designfehler, für die eine Lösung dann eben länger dauert, da man unter umständen viel Code dafür umzubauen hat und dann eben auch noch die zig Abhängigkeiten berücksichtigen muss. Vor allem, wenn man dann eben auch noch die Patchqualität gewährleisten muss, damit nicht durch evtl. übersehene Konfigurationen das ganze System zerschossen wird. Klar ist es gut, den Herstellern Druck zu machen. Aber wenn wírklich nur noch ein paar Tage bis zum Patch gefehlt haben, dann ist es ziemliche Frechheit. Aber das wird Google noch mal zurückschlagen, wenn mal was gravierendes in Android auffallen wird, nur das die nicht mal ein für den Kunden vorteilhaftes Patchsystem haben...
 
@Knarzi81: Ist eigentlich die Lücke im AOSP Browser mittlerweile geschlossen, über die schon im August berichtet wurde? Wenn nicht, sind ei leute bei Google wahre Heuchler!
 
@Slurp: Seit 4. September
 
@wertzuiop123: Hast du da mal Patch Notes? Weil ich find bislang nix darüber (selbst am 14.09. berichteten noch einige, dass Google sich bislang nicht geäußert hat)
 
@Slurp: https://android.googlesource.com/platform/external/webkit/+/1368e05e8875f00e8d2529fe6050d08b55ea4d87

https://android.googlesource.com/platform/external/webkit/+/7e4405a7a12750ee27325f065b9825c25b40598c

Die Äußerung war: We have reviewed this report and Android users running Chrome as their browser, or those who are on Android 4.4+ are not affected. For earlier versions of Android, we have already released patches (1, 2) to AOSP.
 
@wertzuiop123: Top! Danke dir.
 
@Slurp: Für das WebView sparen sie sich ja von nun an auf jeden Fall jeglichen support obwohl dieses immer wieder durch Anfälligkeit auffiel.

http://www.zdnet.com/article/google-stops-providing-patches-for-pre-kitkat-webview-abandons-930m-users/
 
@Knarzi81: Du darfst Android nicht gleich Android setzen! Denn die Androidversionen von den einzelnen Herstellern werden auch von den Herstellern Supportet und nicht von Google. Da kann Google nichts für, wenn da die Sicherheitslücke länger offen bleibt!
Anders sieht es aber bei den Nexus Geräten aus, die direkt von Google Supportet wird.
Daher muss hier ein Unterschied gemacht werden und nicht Pauschal Google die Schuld zugewiesen werden.

Hier im Fall Google und Microsoft haben wir einfach zu wenig Informationen. Hat Windows nun gehandelt, weil es veröffentlicht wurde? Oder wäre es in Wahrheit ohne die Veröffentlichung immer noch nicht gepatcht worden?
Oder hat Microsoft vergessen sich mit Google in Verbindung zu setzen und den Fortschritt denen mitzuteilen? Wir haben bis jetzt nur eine Seite gehört. Hier müsste sich Google nun auch zu Wort melden, ob wirklich eine Meldung rausging und ob die auch noch rechtzeitig eintraf. Wenn es z.B. nur ne Minute vorher war, dann kann hier auch nicht mehr viel gebremst werden...
Daher nicht immer einfach wettern und dies auch noch öffentlich. Sondern die Entscheidung für sich selbst treffen. Wenn wirklich alle Daten und Fakten über den Ablauf bekannt wären, sähe es natürlich anders aus. Aber das ist leider nicht der Fall.

Grüße

Forster
 
@Forster007: Zum Punkt Nexus-Geräte: Wenn ich mir anschaue, für wie viele Nexus-Geräte noch immer nicht Lollipop angeboten wird, frage ich mich, warum das so ist. Bei meinem G3 von LG habe ich übrigens schon seit einiger Zeit Lollipop.

Auch damals zu meinen Nexus 4 Zeiten wurde mir das Update erst ein oder zwei Monate nach offizieller Freigabe angeboten.

Hier muss Google noch schneller werden. Ich weiß jetzt nicht, wie das Verhältnis Nexus-Geräte zu iOS-Geräten ist, aber ich kann mir gut vorstellen, dass Apple weitaus mehr iOS-Geräte im Umlauf hat als Google Nexus-Geräte. Apple schafft es auch, das Update zeitnah an alle qualifizierten Geräte zu verteilen. Klar, am ersten Abend gehen die Server in die Knie (wobei über iTunes das zumindest bei mir immer noch recht schnell geklappt hat), aber nach zwei, drei Tagen dürfte jeder das Update haben.

An Server-Kapazität sollte es Google ja nicht mangeln.
 
@RebelSoldier: Nun, Lollipop hat nichts mit Sicherheitsupdates zu tun!

Grüße

Forster
 
@Forster007: Das macht doch nichts. Dann ist es halt nicht 5.0, sondern nenne es 5.0.1 oder 5.0.2 oder 5.1. Die Updates werden ja immer schrittweise verteilt.
 
@RebelSoldier: Das hat nichts damit zu tun. Wenn du es bei Google nicht verstehen willst, nehme ich Microsoft mal als Beispiel. Der Schritt von Kitkat zu Lollipop wäre vergleichbar wie von windows 8 zu 8.1 oder Windows 7 zu 8 oder vista zu 7 usw. Also müsste, nach deiner Aussage, Windows sämtliche Upgrades auch schnell und kostenlos an jeden verteilen. ok, von windows 8 zu 8.1 wurde das ja gemacht, aber das war nur ne Nettigkeit von Microsoft!
Es gibt aber auch einfache Updates bei Android, wie vergleichsweise bei windows, wo du einfach deinen rechner neustartest oder per windows update drauf installierst. Da hat sich aber Windows 8 nicht zu 8.1 entwickelt, sondern heißt immer noch 8. Nun verständlich?
Also hat Lollipop nichts mit den Sicherheitsupdates zu tun.

Grüße

Forster
 
@RebelSoldier: Das G3 meines Vaters wartet noch auf Lollipop :(
 
@Forster007: Es ist egal, ob Google das supportet oder nicht! Android steht für Google und Google steht für Android, also wird es auch auf sie zurückfallen, weil sie so blöd waren, den Herstellern soviel Macht zu geben!
 
@Knarzi81: Nein, ist nicht egal. Denn das macht nun mal Open-Source aus.
Somit muss man diese Differenzierung machen! Macht man sie nicht, dann könnte Google auch gleich Closed-Source machen!
Somit...

Grüße

Forster
 
@Forster007: Mit OpenSource hat das nichts zu tun. Google hat alle möglichen Richtlinien für die Hersteller solange die GApps verwenden wollen. Da ist sogar definiert wie lange das "powered by Android"-Logo angezeigt werden muss.

Im Thema Updates hat es Google einfach versäumt.
 
@Lex23: was aber daran liegt, dass diese apps closed sind. aber die haben nichts mit dem Betriebssystem zu tun!

Grüße

Forster
 
@Forster007: In der Realität sind doch auf 90% der Androidgeräte die GApps vorinstalliert. Sowie weitere ClosedSource-Software (Treiber, Launcher, etc.)
 
@Lex23: Ändert das was an der Aussage? Grüße Forster
 
@Forster007: Ja, denn Google macht nicht nur OpenSource. Und Android ist mehr als nur AOSP.
Wenn man wirklich ein reines OpenSource-Smartphone haben will, ist das gar nicht so einfach, und nur mit einigen Einschnitten möglich.
 
@Lex23: Und ich frage dich noch einmal. Was hat das Betriebssystem mit dem Apps zutun? Das Betriebssystem, also das reine, ist open Source. Die Apps nicht.
Wir reden hier aber um das Betriebssystem und somit ist sämtliche Diskussion überflüssig.
Die Apps kann jeder Hersteller ja entscheiden, ob er die drauf macht und somit sich an die Lizenzen halten muss oder ob er die unten lässt. Da die Apps kostenlos sind, wäre das für den User nicht so das Problem. Da aber die meisten User das nicht wissen oder zu Faul wären, machen die Hersteller das drauf und müssen dann damit leben. Aber wie schon gesagt, das hat nichts mit dem Grund Betriebssystem zu tun.

Grüße

Forster
 
@Forster007: Blabla Open Source Gewäsch... Wieso ist es Google möglich alles mögliche in den Lizenzbedingungen festzusetzen aber das für den Kunden relevante, nämlich einen Patch- und Updatezwang nicht? Weil ihnen die Kunden nämlich auch scheißegal sind!

http://www.areamobile.de/news/26448-lizenzvertrag-geleakt-das-sind-googles-bedingungen-fuer-android-smartphones
 
@Knarzi81: Wo ist das Problem zu verstehen, Das reine Betriebssystem separat zu den Apps zu sehen? ... Und genau das beweist übrigens dein Link!

Und hier geht es um das Betriebsystem und nicht um die Apps!...
Und durch das Open Source, kann Google auch die Anbieter nicht zu einem Update zwingen! Die Kunden müssen dann nur den richtigen Schluss ziehen und von dem Hersteller abwandern, wenn ihnen die Zeit zu lange ist!!!

Grüße

Forster
 
@Forster007: Dafür, dass jemand den Namen Android verwenden darf müssen diese Lizenzbedingungen erfüllt sein. Wenn man dafür das verteilen von Google-Datensammel-Apps erzwingen kann, dann kann man damit auch Patch- und Updategarantien für Geräte einfordern, damit es Android heißen darf! Die Namensrechte liegen bei Google, also kann Google fordern was sie wollen, damit der Name verwendet werden kann.

Wie kann man so eine für den Kunden beschissene Situation denn bitte noch rechtfertigen? Zu welchem Hersteller sollen sie denn wandern? Zu den anderen die das genauso machen?
 
@Forster007: So ganz nebenbei sollte genau das mal kommen, aber es wurde nie von Google durchgesetz!

http://www.engadget.com/2011/05/10/google-clarifies-18-month-android-upgrade-program-details-far-f/
 
@Knarzi81: Ich zitiere mal aus deinem Link:

"Möchte ein Hersteller aber ein Smartphone bauen, auf dem die Google-Dienste verfügbar sind, gibt es einige Bedingungen von Google."

Da viele Apps im Store usw. auf die Googledienste aufbauen, kommt der User selten da herum. Also Installiert der Hersteller dieses schon vorher und bindet sich dann auch an die Regeln.
Der Hersteller könnte aber auch, siehe damals Cyanogenmod, was ja auch Android geschimpft wurde und keine Googleapps bei hatte, es so machen. Der Nutzer installiert die Apps dann separat drauf und gut ist! Wäre hier also die Trennung Betriebssystem und Apps zu erkennen.
Da aber viele Nutzer sich soweit nicht auskennen und vermutlich von den Herstellern weglaufen würden, wenn die Apps nicht drauf sind, tun die Hersteller das und müssen entsprechend sich an die Regeln halten. von Aussehen usw. Das hat aber nichts mit der Updatepolitik zu tun. Hier können die Hersteller, mit einem kleinen Versatz, wegen Anpassung an die Hardware, das ja auch schnell machen. Aber das liegt in den Händen von den Herstellern.
Außerdem kommt es hier ja auch noch drauf an, wie viele verschiedene Modelle der Hersteller hat und wieviele Mitarbeiter der hat. Hier kann Google sich auch nicht reinhängen. Wegen dem Open Source. Würden die Samsung zum Beispiel den Zwang auferlegen innerhalb von einem Tag das Update auf alle seine Modelle zu bringen, kann Samsung einpacken.

Grüße

Forster
 
@Knarzi81: aus besagten Gründen. Wobei ich hier auch ein Tradeoff als eine bessere Lösung halten würde. Aber wie schon gesagt, das ist nun mal das Problem an Open Source.
Hier muss der Nutzer nun entscheiden und im Zweifelsfall sich von Android halt verabschieben und deren Hersteller. Oder er nimmt es halt in kauf. Muss der Kunde dann entscheiden!

Grüße

Forster
 
@Forster007: Das Problem war einfach, dass die Hersteller wahrscheinlich gesagt haben, entweder der Updatezwang fällt oder die Google-Apps fliegen. Die Kunden wissen aber zumeist gar nicht, in welcher Lage sie sind, da sie Smartphones nicht als das ansehen was sie sind. Computer mit Sicherheitslücken. Windows hat den Ruf unsicher zu sein, trotz Patchmöglichkeit. Dabei hätte diesen Ruf eben eher Android verdient, da die Hersteller es zu unsichersten System überhaupt verkommen lassen. Aber es kratzt keinen, weil überhaupt kein sensibilisierung vorhanden ist und von denen die es eingentlich besser wissen müssten durchgeführt wird, nur weil es ja Open Source und man darauf ja nichts kommen lässt, auch wenn es die beschissenste Situation überhaupt ist.
 
@Forster007: CyanogenMod wurde Android geschimpft, darf sich aber selbst nicht so nennen. Das ist ein Unterschied. Darum heißt es CyanogenMod und nicht AndroidMod. Darum heißt das FireOS auch FireOS und das von Nokia eben auch nicht Android.
 
@Forster007: Und hier noch mal ganz frisch auf Deutsch. Elf Sicherheitslücken im WebView die Google nicht gedenkt zu schließen. Ja, das ist Kundenorientiert!

http://www.golem.de/news/google-61-prozent-der-android-geraete-behalten-sicherheitsluecken-1501-111650.html
 
@Knarzi81: das ist falsch. CyanogenMod wird auch Android genannt und nennt sich auch so als Oberbegriff! Man könnte es mit Linux vergleichen. Linux ist auch der Oberbegriff für sämtliche Distributionen. Das kann man auch auf Android anwenden.

Was die Sicherheit an sich betrifft, gebe ich dir Recht. Aber wie ja schon in vorangegangenen Beiträgen, kann man dieses nicht unbedingt als Regel mitliefern. Oder man müsste von Hersteller zu Hersteller eine unterschiedliche Frist geben oder eine für alle, die aber für jeden Möglich ist. Das Grenzt aber wiederrum ziemlich ein, und dann könnte man es nicht mehr Open-Source schimpfen. Also geht das nicht! Wie schon gesagt, der Kunde muss dies nun mit seinem Kaufverhalten beeinflussen und somit den Herstellern zeigen, wo es lang geht!

Grüße

Forster
 
@Knarzi81: Ich zitiere mal aus deinem Link:

"Eine Android-Komponente in älteren Versionen erhält keine Patches mehr von Google."

Also ist Windows mit XP genauso schlecht! Denn dieses wird ja nun auch nicht mehr gepatcht!...

Nun muss man aber auch dazu sagen, dass ist eine doch relativ kurze Zeit entgegengesetzt von XP. Aber hier muss man auch den Lebenszyklus betrachten, wie lange ein PC lebt und wie lange ein Smartphone lebt. Aber 1,5 Jahre ist doch kurz.

Grüße

Forster
 
@Forster007: 4.3 ist 1,5 Jahre alt. Geräte damit kamen Ende 2013, also vor einem Jahr auf dem Markt. XP vor 14 Jahren. Das ist doch wohl ein Witz! Auch ein Smartphone lebt länger als 1 Jahr, das beweist die Verteilung der Androidversionen.
 
@Knarzi81: Hatte da noch was angefügt! Und stimme dir damit ja zu, dass 4.3 einwenig früh aus dem Sortiment genommen wurde. Hier hätte man noch 2-3 Jahre warten können.

Grüße

Forster
 
@Knarzi81: Das mit der Verteilung steht aber in deinem Text auch gut drin. Man kann aus den Zahlen nicht genau sagen, welche Systeme in dem Jahr noch wirklich aktiv waren. Hier können auch Phantomsysteme mit drin wirken.
Es reicht ja nur, wenn jemand sein altes Handy wegen Reparatur seinen aktuellen Handys reaktiviert. Hatte ich vor kurzen erst. In Wahrheit wird das alte Handy gar nicht mehr genutzt. Ist aber nun in der Statistik doch zu finden.

Grüße

Forster

Edit: Und die 1 Jahre alten Smarthphones bekommen meist noch das Update auf die neuere Version von Android. Die kann man also auch nicht ganz zählen.

Wobei, es gibt hier auch Hersteller, die das nicht machen. Aber hier wäre dann der Kunde wieder gefragt. Aber 1,5 Jahre ist doch sehr kurz!
 
@Forster007: Wer ausser Google kann was dafür, wenn sie ein Handy-Betriebssystem herausbringen, das die Updates so verteilt?
 
@Tintifax: Ich verstehe deine Frage nicht! Die hat nichts mit dem Problem zu tun, dass Android open-Source ist und somit von den Herstellern nun mal verwendet werden kann. Nun wird sich darüber beschwert! Ich will aber mal die Aussage bringen, hätten sie Closed-Source gemacht, hättest du dich darüber beschwert. Also wo ist nun das Problem?
Google kann also in dieser Hinsicht nichts und somit muss man die Differenzierung bringen und kann nicht die Schuld auf Google abwälzen.

Grüße

Forster
 
@Forster007: Ist es nicht ohnehin so, daß Android zumindest "Teil"-Closed-Source ist?
 
@departure: Nein. Android ist open-Source. Nur gibt es manche Teile (Apps), die Close-Source sind, weil sie Patente von anderen nutzen, die halt closed sind. Zum Beispiel die Googleapps.
Diese sind aber in einer Mod dann nicht drin, wenn sie keine Lizenz von google abgeschlossen haben. Da man aber den store und somit die Apps dann separat einfach runter laden kann, ist das dann auch nicht mehr so das Problem.

Grüße

Forster
 
@Forster007: Verstehe, Danke für die Erklärung.
 
@Forster007: Hast du bitte einen Link für den PlaystoreMode parat und würde der auf einem Kindle Fire HDX 7" one Rooot problemlos laufen?
 
@M4dr1cks: Was meinst du mit PlaystoreMode? wenn du einfach nur die App Playstore meinst, kann ich dir in Bezug Kindle nicht helfen.
Mit Kindle habe ich mich nicht viel beschäftigt und ich denke, weiß es aber nicht, dass dort ein etwas anderes System als Android läuft. Aber keine Ahnung.

Grüße

Forster
 
@M4dr1cks: Ja es gibt die Möglichkeit auf dem Kindle Fire HDX 7 den Playstore zu installieren. Aber simpel ist das nicht. Ich habe selbst eins und habe den Playstore installiert. Rooten und eine Art "Bootloader" sind dazu allerdings nötig.
Die bleibt nur Google...
 
@Knarzi81: Als reichster Softwarekonzern der Welt sollte man mehr als genug Geld und Ressourcen haben JEDE Lücke, egal wie gravierend sie ist, innerhalb von 90 Tagen patchen zu können. Meiner Meinung nach ist es gerechtfertigt, dass Google nach der Frist die Lücke öffentlich bekannt gemacht hat. Ausnahmen sollte es trotzdem geben, für Unternehmen die eben nicht so viele Mitarbeiter haben, aber bei Microsoft zieht diese Ausrede nicht. Tja, erwischt!
 
@Peter Griffin: Wenn Microsoft die Patches im regulären Intervall verteilen will, muss man nicht ein paar Tage vorher quer schießen. Hier zu Lasten des Konkurrenz-Kunden auf irgendwelche eigenen Fristen zu pochen wird von Microsoft zu recht kritisiert, das ist armselig und ganz schön kleinlich.
 
@Chiron84: Nein, wie ja schon in o2->re1->re1->re1 gesagt, wissen wir nicht, ob Microsoft sich rechtzeitig gemeldet hat! Und Google kann ja nicht wissen, das Microsoft so weit ist. Außerdem hatte Microsoft zu diesem Zeitpunkt ja auch mindestens 89 Tage um es zu beheben und auch außerhalb des Patchdays es zu fixen. Oder sogar 2 Patchdays in der Zeit zur Verfügung gehabt. Solange wir also von Google nichts gehört haben, kennen wir nur eine Seite. Und die muss nicht stimmen!

Grüße

Forster
 
@Chiron84: Für kritische Lücken bringt auch MS hot fixes heraus!
 
@Peter Griffin: Große Produkte beeinhalten auch riesige Komplexitäten und Wechselwirkungen. In einem Produkt wie Windows stecken viele Hundert Mannjahre. Ein Forderung, dass nach 90 Tagen jeder Fehler behoben sein muss, zeugt von absulten Fehlen von Programmierkenntnissen.
 
@Nunk-Junge: Jede bekannte Lücke in Windows könnte von Microsoft innerhalb von 90 Tagen behoben werden, wenn man wollen würde. Ich habe nicht geschrieben, dass Microsoft keine Fehler beim Programmieren machen darf. Aber zumindest schnell reagieren, wenn eine Lücke bekannt ist, sollten sie schon. Ressourcen hat Microsoft. Aber die Prioritäten scheinen woanders zu liegen. Also komme mir nicht mit solchen Scheinargumenten.
 
@Peter Griffin: Man merkt, dass du keine Ahnung von Programmierung hast...
 
@Peter Griffin: Total weltfremd. Selbst wenn du das Problem beseitigen kannst, muss es anschließend noch getestet werden.
Wenn du zur Lösung des Problemes eine Designentscheidung abändern musst (in seltenen Fällen kommt das vor), wird das mit den 90 Tagen mehr als eng. Besonders wenn es kein Anzeichen gibt, dass eine Lücke aktiv ausgenutzt wird, sollte man lieber in die Qualitätssicherung investieren, als eine Lücke zu schließen und dabei mit hoher Wahrscheinlichkeit neue Probleme oder gar Sicherheitslücken zu verursachen.
 
@Peter Griffin: Du kennst ALLE bekannten Lücken und du kennst für diese Lücken die mögliche Lösung und weißt deshalb, dass es in 90 Tagen geht?

Wahnsinn, MS sollte dich dringestens einstellen....
 
@Peter Griffin: Sorry, du hast scheinbar weder eine Ahnung von Software Entwicklung, noch von großen Unternehmen. Nur weil eine eigentlich recht harmlose Lücke auftritt, werden nicht alle Entwickler von allen Projekten losgezogen, nur weil Google in einem Anfall als Größenwahn Fristen setzt... Hier ist Google vollkommen egal gewesen ob sie User gefährden... Kann mir eigentlich jemand sagen ab welchem Punkt Google selbst "Dont be evil" vollkommen egal geworden ist?
 
@Tintifax: "Nur weil eine eigentlich recht harmlose Lücke auftritt, werden nicht alle Entwickler von allen Projekten losgezogen"
Habe ich das gefordert ? Nein. Wie wäre es mit mehr Entwickler einstellen? ;)
 
@Peter Griffin: Du hat offensichtlich auch keine Ahnung von Projektmanagement. Zu einem Projekt mehr Leute einzustellen macht das Projekt normalerweise nicht schneller, sondern allenfalls langsamer, denn man bekommt zusätzlichen Aufwand für Einarbeitung neuer Mitarbeiter, exponentielle steigenden Kommunikationsaufwand und exponentiell steigenden Managementaufwand.
 
@Nunk-Junge: Wenn Microsoft einen Patch nicht in 3 Monaten gebacken bekommt, sollte man sich dort in Redmond generell Gedanken über die Organisation und die Arbeitsabläufe machen. Das Unternehmen gibt es schon seit knapp 40 Jahren! Das ist ein Weltkonzern! Wir reden hier nicht von Amateuren oder einer 10-Mann-Klitsche. Es ist schon belustigend wie einige versuchen Microsoft mit abstrusen Argumenten zu verteidigen.
 
@Peter Griffin: Das hat nichts mit Microsoft zu tun, sondern mit Software-Entwicklung und Projekt-Management. Ob dieser Fehler leicht oder schwer zu beheben ist, kann ich nicht beurteilen. Aber mit mehr als 20 Jahren Erfahrung in professioneller Software-Entwicklung kann ich beurteilen, dass Du von den Themen defintiv keine Ahnung hast.
 
@Nunk-Junge: Wie macht man jemandem ohne Ahnung klar, dass es Probleme gibt (hat nichtmal direkt was mit Softwareentwicklung zu tun), die man eben nicht einfach nur mit genug Geld bewerfen muss um sie innerhalb einer gewissen Frist lösen zu können?

Mir fällt dazu nichts ein...
 
@Peter Griffin: Verfügt Apple nicht über mehr Kapital, als Microsoft?
 
Der "Schutz des Kunden" ist in aller erster Linie die Information des Kunden. Wenn Microsoft dem Kunden besagte Informationen über Lücken vorenthalten möchte, zeigt das in erster Linie, dass es dabei nicht vorrangig um Kundeninteressen geht.
Ich finde, der Kunde hat ein Recht auf solche Informationen GERADE wenn es sich um schwerwiegende Probleme handelt und gerade wenn es noch keinen Patch gibt. Ich halte es sogar bedenklich das Googles 3 Monate wartet bevor es das Problem öffendlich macht. Wie soll ich als Verbraucher denn eine Kaufentscheidung tätigen, wenn mir solche Informationen vorenthalten werden? Da kaufen sich Leute reihenweise eine Software mit eingebautem Sicherheitsrisiko und erfahren davon erst 3 Monate später? Und wenn es nach dem Hersteller selber geht, erfahren sie davon gar nicht.
"Schutz des Kunden" sieht anders aus.
 
@e-foolution: Es muss ein Tradeoff gefunden werden. Es ist klar, wenn man sofort die Lücke veröffentlicht und Microsoft oder die Betreffende Firma keine Chance hatte ein Patch zu bringen, sind in dieser Zeit sämtliche Systeme gefährdet. Hätte man dies aber nicht veröffentlicht, wäre die Wahrscheinlichkeit dieser Gefährdung gering. Denn der Fehler muss ja auch erstmal von der bösen Seite gefunden werden.
Aber je länger man mit der Veröffentlichung wartet, desto höher ist dann auch die Wahrscheinlichkeit, dass die böse Seite den Fehler gefunden hat. Hier muss also ein Tradeoff gefunden werden.

Grüße

Forster
 
@Forster007: Ich verstehe nicht, was hier der Vorteil für den Kunden sein soll wenn eine möglicherweise gefährliche Lücke, an der der Hersteller schon arbeitet und sie im regulären Patchintervall stopfen will, ein paar Tage vor Patch-Release allgemein bekannt wird.
 
@Chiron84: Wir wissen nicht, ob das von Betz stimmt. Hier müsste sich Google mal zu Wort melden. Hat Betz Google rechtzeitig bescheid gegeben, ist es nicht schön von Google. Wurde es aber kurz vor der Veröffentlichung erst Google mitgeteilt, ist Microsoft selber Schuld. Und für den Kunden ist es irgendwann zum Vorteil, wenn er die Lücke kennt, um sich selbst zu schützen, wenn es der Entwickler nicht schafft.
Das meine ich mit Tradeoff. Hier indem Fall haben wir einfach zu wenig Informationen, bzw. nur eine Seite. Und die muss nicht Zwangsweise richtig sein!

Grüße

Forster
 
@Forster007: Logisches Denken gibt es bei Google nicht. Die Wissen das PatchDays immer der 2. Dienstag im Monat sind. Während der Feiertage und auch schon davor war nicht mehr die volle Belegschaft da gewesen. Wir wissen ja nicht mal das Startdatum. 90 Tage != 3 Monate.
 
@FreddyS: 90 sind aber fast 3 Monate.gehen wir mal von aus, dass der Monat mit 31 Tagen anfängt und noch über juli geht. Dann wären 31+31+30=92Tage. Nun auf die 2 Tage kann man wohl drauf kacken.
Und wie man es also auch schieben und wenden will, 2 Patchdays sind immer dabei. Und selbst wenn Google noch die 2 Tage gewartet hätte, und sie aber keine Information über den Voranschritt der Entwicklung des Fixes bekommen hat, kann man sich auch einfach an seine 1. Aussage, die 90 Tage, halten. Microsoft hätte sich ja einfach früher melden können. 88 Tage hatten sie ja mindestens Zeit dafür.

Grüße

Forster
 
@Forster007: Nicht jeder Lücke ist gleich schnell geschlossen. Bei manchen Sachen kommen Hotfix innerhalb ner Woche. Hier war es aber was mit den Benutzerkonten, ergo viel tiefer im System. Software entwickelt sich nicht von selbst und wenn du 100000 Programmierer darauf ansetzt jede Lücke zu schließen werden sie nicht bedeutend schneller. Lücken finden ist die eine Seite. Sie zu schließen ohne wieder zwei dazu zubekommen die andere. Die reine Programmierung hat an solchen Patchs nicht soviel Anteil wie die Planung und das Testen.
 
@FreddyS: "Die Wissen das PatchDays immer der 2. Dienstag im Monat sind."
Ist Microsoft irgend eine öffentliche Behörde?
Die sollen sich mal nicht so anstellen und so einen Fix früher raushauen.
Obendrein käme das markttingmäßig gesehen viel besser, wenn Microsoft sofort handelt, als dieses Beamtentum, dass du noch gut findest.
 
@Forster007: Was hat das mit Beamtentun zu tun? Es geht nicht um den Privatanwender das der planen kann sondern die Admins müssen sich auf ein Datum verlassen können an dem Patchs ihren Rollout haben. Wie ich weiter unten schonmal erwähnt habe sollte Microsoft das selbe mal bei Android machen samt Exploits weit und Breit ins Netz hineintreten.
 
@FreddyS: Es ist doch scheißegal für die Admins. Das ist deren Job. Außerdem hatte Microsoft die Möglichkeit 2 Tage in den 90 Tagen es regulär rauszubringen, so dass die Admins ja kein Problem hätten oder Microsoft hätte es Google ja früher mitteilen können, dass wo das Problem hängt oder das sie es jetzt erst herausbringen können... Haben sie aber scheinbar zu spät (wie schon gesagt, es fehlt die Aussage von Google) und somit...

Das Microsoft es auch bei Google machen soll oder nicht machen darf, habe ich in keinem Wort gesagt. Wenn sie das mit der gleichen Frist machen, bin ich voll für.

Und ich habe in keinem Wort Beamtentum erwähnt. Was du damit meinst ist mir schleierhaft in Bezug auf mich.

Grüße

Forsterf
 
@FreddyS: Kenne mich mit Softwareengineering auf. Habe Informatikingenieur im Bachelor studiert. Deshalb ja auch die Aussage mit dem früher Melden...

Grüße

Forster
 
@e-foolution: Wenn du wirklich erwartest fehlerfreie Software im Laden zu erhalten, dann kann ich dir nur empfehlen deinen PC wieder abzugeben. KEINE Software die du im Laden kaufen kannst ist fehlerfrei. Ich gebe dir Recht in dem Punkt das Kunden über Probleme informiert werden sollten, aber in Sachen Zeitpunkt und Umfang bin ich da ganz anderer Meinung. Aktuell ist es so, dass es immer schwieriger wird Sicherheitslücken zu finden, weshalb gerne bekannte Lücken ausgenutzt werden. Ein solches Problem detailliert offen zu legen, obwohl noch keine Lösung und kein Workaround vorhanden ist, ist fahrlässig und sollte auch strafrechtlich verfolgt werden! Wenn dein Kellerfenster sich nicht mehr schließen lässt und die Reparatur dauert eine Woche, dann bist du auch nicht begeistert, wenn dein Nachbar das in der Kneipe kund tut.
 
@Jailbird: es ist aber keine straftat es in der kneipe zu erzählen...
 
@otzepo: Aber wenn man es den Presseagenturen der Welt mitteilt schon. Und wenn "Google" das Maul auf macht hört nunmal die Welt zu.
 
@crmsnrzl: auch dann ist es keine straftat
 
@otzepo: Ich war noch bei dem Kellerfensterbeispiel und da es ist eine Straftat weil es einer Anstiftung zur Strafttat gleich kommt.
 
@crmsnrzl: und wie bestimmt man da bitte jemanden vorsätzlich zum Begehen einer vorsätzlich begangener rechtswidriger Tat?

Bei diesem Beispiel ist es ein Kellerfenster eines gewissen Herstellers, bei dem man leicht einbrechen kann und Google warnt die Besitzer dieser Fenster, da der Hersteller nach 90 Tagen noch nicht nachgebessert hat.

Aber selbst wenn jemand seine Kellertür nie abschließt oder einen Hausschlüssel unter einem Stein versteckt ist das Verpetzen dieser Tatsache noch lange keine Anstiftung zu einer Straftat.
 
@Jailbird: Ach, man nimmmt da einfach Krüppel-Unix OSX, Unix oder Linux. Da kann einem nix passieren, weil die sind ja virensicher.
XD
 
So ist das wirklich nicht in Ordnung von Google, die zwei Tage hätte man ruhig warten können. Immerhin war in diesem Fall erklärte Zweck der Frist, den Softwareherstellern Beine zu machen bei der Fehlerbehebung nicht gegeben.
 
@nicknicknick:
Das sagt Microsoft.
Vielleicht haben die schon seit 80 Tagen einen Fix, aber wurden von der NSA angehalten diese Lücke nicht so schnell zu fixen und jetzt wird er noch schnell rausgehauen um noch gut dazustehen und Google einen reinzuwürgen.
Denen traue ich mittlerweile alles zu, und so ein Vorgehen wird auch von Snowdens Enthüllungen quasi bestätigt.
Das wirklich traurige ist dass diese Enthüllung langsam aber sicher wieder zu Verschwörungstheorien umgedreht werden. Als ob das alles nie passiert wäre...
 
@Freudian: Wie lebt es sich eigentlich mit Aluhut? Immer diese dummen Verschwörungstheorien. Oh man.
 
@picasso22: Das u.a. Microsoft "Bugs" vor Veröffentlichung eines Patches an die Geheimdienste weitergibt, ist wohl leider Realität, und keine Aluhut-Verschwörung.
 
@picasso22:
Sag ich ja. Es sind Fakten. Und Leute wie du leben in so einer Scheinwelt, dass sie die Realität nicht mehr kapieren.
 
@Freudian: Sorry aber das ist nun wirklich lachhaft!
 
@nicknicknick:
Du hast wohl die letzten 1,5 Jahre tief gepennt. Guten Morgen.
Für dich gilt dann nur mein letzter Satz.
 
@Freudian: Aluhut nicht vergessen :D
 
@nicknicknick:
Ich wollte jetzt "Lesen lernen nicht vergessen" sagen. Aber jemanden der so lange gepennt hat, denkt dass die ganzen Veröffentlichungen der letzten 1,5 Jahren Verschwörungstheorien waren und Fakten mit so einer Inbrunst ignoriert und Schwarzweiß-Schubladen entwickelt, in die er dann Menschen steckt die er nicht kennt und nur Anhand seiner Ignoranz bewertet, der lernt eh nichts mehr.
Mal ehrlich, wenn ich so eine massive Ignoranz sehe, dann tust du mir schon Leid. Wie schwach musst du sein Realität so massiv abzulehnen? :(
 
@Freudian: Deine Verschwörungstheorien werden durch die "aufgedeckten" Praktiken der NSA (ganz ehrlich: was dachtest du denn vorher was die machen?) ganz sicher nicht bestätigt, aber wenn du gerne die Realität und die wahren Probleme vernebeln möchtest, nur zu!
 
@Freudian: Google hat den Auftrag von der NSA das vor dem PatchDay zu enthüllen + Anleitung damit die anderen auch noch Spaß haben dürfen.
*Ironie*
 
@Freudian: definiere "quasi bestätigt"
 
@crmsnrzl: "Microsoft Corp. (MSFT), the world’s largest software company, provides intelligence agencies with information about bugs in its popular software before it publicly releases a fix, according to two people familiar with the process."

http://www.bloomberg.com/news/2013-06-14/u-s-agencies-said-to-swap-data-with-thousands-of-firms.html
 
@nicknicknick: ne hätte man nicht, ich als Kunde habe schon 90 Tage gewartet. Irgendwann mus Microsoft auch mal in die Hufen kommen und scheinbar brauch es solch ein Warnschuss vor den Bug, dass ein Unternehmen wie Microsoft sich mal um Bugs kümmert.
 
@klarso: Normalerweise würde ich dir was die Trägheit von MS angeht Recht geben, aber wegen 2 Tagen so ein Fass aufzumachen ist kleinlich und in meinen Augen unangemessen!
 
Eine "fahrlässige Gefährdung der Nutzer" sehe ich hier nur durch Microsoft. 90 Tage sollten genug Zeit sein, um einen Bug zu beheben oder zumindest ein Update an Google zu geben, dass man daran arbeitet.
 
@noneofthem: die Info hat man ja an Google gegeben, was Google aber wohl nicht interessiert hat.
 
@noneofthem: tjo so ist das mit ms. bevor die was machen bringen die lieber ein neues bs, bringt ja auch am nede mehr als kostenlose patsches und updates. ist ja nicht das erste mal das ms mist baut!
 
@snoopi: Weil Google ja nie mist baut... Google ist ja so toll und so heilig alles für den Kunden genau...
 
@picasso22: google ist kein bs, würd ich sagen. auch wenn die vielleicht eins haben, kein plan.
 
Ja was denn nuuun ? Im vorigen Bericht hier auf WF stand was, was sich so gelesen hat: Microsoft hat null, nicht, so richtig garnicht (innerhalb der von Google gesetzten 90 Tage Frist) auf Googles Anfrage reagiert und deswegen "durfte" Google veröffentlichen....und nun steht hier was von wegen: Microsoft hat doch und sehr wohl, eben DOCH "rechtzeitig" reagiert ?? Also so irgendwie, fühl' ich mich grade vergackeiert.
 
@DerTigga: nicht nur du. der gedanke kam mir beim lesen auch schon. wenn es wirklich so lange dauert hätte man es ja google sagen können statt nicht zu reagieren. nu is die frage, welcher der beiden nachrichten darf ich glauben?!
 
@DerTigga: Wer entscheidet eigentlich, welche Frist angemessen ist?
 
@crmsnrzl: denkst du dabei (auch) an die Todestrafe bzw. deren unbekannte, aber irgendwann eben endende Frist ? Soll man sich dabei auf die Ankündigung freuen, das die Frist um ist, oder soll mans nicht ? War die Frist zu kurz oder zu lang für den Betroffenen ?
Wie also soll man deine Frage beantworten können, wenns da zig Ansichten und Meinungen und Konstellationen bei geben kann ?
 
@DerTigga: Was ist eigentlich an dem Text so schwer zu verstehen? Es ist die zweite Lücke, die Google in Windows entdeckt hat und die Microsoft nicht innerhalb 90 Tage beheben konnte. Bei der ersten hat sich Microsoft scheinbar erst gar nicht gemeldet und bei der aktuellen Lücke haben sie scheinbar zu spät geschrieben, dass der Patch am Dienstag gepatched werden würde, wer weiß ob das tatsächlich der Fall gewesen wäre. Ich finde die 90 Tage Regelung sehr gut, dadurch haben wir am Ende mehr Sicherheit, was sind schon 3 Tage ungepatchte Sicherheitslücke gegen 90 Tage oder länger nicht gepatchte Sicherheitslücken. Wielange ist schon der IE Bug ungepatched, schon über 6 Monate!
 
@klarso: Ich hoffe grade sehr, das du mich nicht falsch bzw. nicht dahingehend verstanden hast, ich fände die Reaktion von Google unnachvollziehbar.. Im Gegenteil, ich bin der Meinung, das der schwarze Peter viel eher bei Microsoft liegt, denn bei Google ;-)
Davon ab hast du da meinem Empfinden nach nen Dreher im Text, denn Dienstag wird vermutlich ein Patch rauskommen, der wird aber doch keinen Patch patchen sondern nen Bug wegpatchen ? ;-)
 
Die Lücke wurde geschlossen? Dachte Patch-Day ist erst morgen?
 
Microsoft sollte einen Monat lang jeden Tag Sicherheitslücken in Android, Chrome und allen WebApps suchen und nach 90 Tagen samt Exploit veröffentlichen. Denn Sicherheitsupdates kann Google selber anschieben. Wäre mal schön zu sehen ob Google das bei wirklich jeder Lücke schafft rechtzeitig zu sein. Wenn sie einen Tag länger brauchen weil der Rollout noch nicht überall abgeschlossen ist bzw. angefangen hat wird dann auch veröffentlicht. Wird sich mit absoluter Sicherheit genug finden lassen.^^ *EVIL*
 
@FreddyS: Selbst wenn es Google schafft scheiterts dann an Samsung und Co.
 
@crmsnrzl: Was Google auch verdient hätte.
 
@FreddyS: Google kann nicht immer alles auf die Hersteller abwälzen. Wer entwickelt denn Android? Wer entwickelt die Launcher? Sicherheitsupdates müssen so entwickelt werden das sie die Lücke schliessen aber nicht die Software Dritter beeinflussen. Das heißt diese Art Updates muss Google selber liefern können ohne das der Launcher oder sonst etwas davon betroffen ist.
 
@FreddyS: Können sie doch - über die Play Services. Die Programme sind ja schon länger ausgelagert und durch den Store aktualisierbar, das Grundgerüst der Play Services aktualisiert sich ohne Zutun der Nutzer.
 
@passtschon: Naja heute hat Google dann bewiesen wie sie zu Sicherheitslücken stehen. Sicherheitsupdates an 60% der Geräte nicht liefern weil man einfach kein Fix macht sondern immer neue Versionen.
 
Wenn ein Milliardenkonzern wie Microsoft seine Sicherheitslücken nicht in 90 Tagen flicken kann, dann ist das schon peinlich. Vielleicht sollte man mal ein paar mehr Ingenieure einstellen, die noch wirklich programmieren können, und nicht alle Kraft auf neuen überflüssigen Metro-Kram verschwenden.
 
@Jas0nK: Was bringen die Milliarden, wenn es sich um ein Problem handelt, welches man eben NICHT mit Geld bewerfen kann? Einfach nur stumpf mehr Leute auf ein Projekt ansetzen führt NICHT unbedingt zu einem schnelleren Ergebnis, ganz im Gegenteil...
 
@Draco2007: Tja, meistens denken die Leute eben, dass 2 Frauen es schaffen ein Kind in 4,5 Monaten zu zeugen...
 
@dognose: Im Durchschnitt schon :p
 
@dognose: Meiner Meinung nach schaffen Frauen es gar nicht ein Kind zu zeugen...sie schaffen es bestenfalls nach der Zeugung eines zu erzeugen.
 
Wenn ich eine Malware verbreiten wollte, würde ich mir nicht die Mühe machen auf so eine veröffentlichte Sicherheitslücke von Windows zu warten. Danach müsste ich mir ja auch noch einen funktionierenden Exploit basteln. Viel zu mühsam. Das kann man alles bei den entsprechenden Firmen oder über die entsprechenden Foren im Internet kaufen. Ist viel weniger Aufwand und die Sicherheitslücken bleiben teilweise jahrelang unentdeckt, so dass man von dem Kauf auch wirklich etwas hat.

Es gibt doch genug solcher Lücken. An Windows XP haben sie über 12 Jahre herumgepatched und da wären wohl noch Sicherheitslücken für einige Jahrzehnte mehr drin. Ich habe auf Windows XP nie Security-Patches/Service-Packs aufgespielt und selbst auf meiner Installation von Ende 2001 hat bis heute keine Virenscanner-Live-CD jemals eine Malware gefunden, noch habe ich den Rechner zu irgendeiner Zeit aus dem Backup neu aufspielen müssen.

Ausfälle wegen fehlerhafter Patches hatte ich in den ganzen Jahren logischerweise auch nie. Warum sollte mich also kümmern, wenn Google eine Sicherheitslücke veröffentlicht, die MS noch nicht gepatched hat?
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles