Experten zum Streit um Google-Veröffentlichung von Windows-Lücke

Vor kurzem hat Google nach dem Ablauf einer Standard-mäßigen 90-tägigen Frist eine Schwachstelle in Windows 8.1 veröffentlicht, weshalb Microsoft ziemlich sauer ist. Man habe Google explizit gebeten, damit zu warten, da man den Patch noch nicht ... mehr... Microsoft Patch Day, Windows Logo, Pflaster Bildquelle: PC Games Patch-Day, Microsoft Patch Day, Windows Logo, Pflaster Patch-Day, Microsoft Patch Day, Windows Logo, Pflaster PC Games

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich denke Google wollte nur provozieren, und das ist nicht in Ordnung. Wenn man bedenkt das Android jede Menge Sicherheitslücken hat.
 
@Unglaublich: Sicherheitslücken ist eine Sachen, aber dass Google nichts unternimmt um diese zu schlissen ist eine andere Sache!
 
@klink: Genau das meine ich. Google zeigt mit den Finger immer auf andere, dabei sollten sie erstmal ihre eigenen Probleme in Angriff nehmen.
 
@klink: Gibt es irgendeine Sicherheitslücke im aktuellen Android, die von Google ignoriert wird? Ich wüsste nicht!
 
@nicknicknick: Welche Sicherheitslücke wurde denn von Microsoft ignoriert?
 
@Mangoral: Habe ich das hier irgendwo geschrieben? Klinik und Unglaublich haben unwahre Behauptungen über angebliche Lücken in Android aufgestellt!
 
@nicknicknick: Du sagst Google hat nie eine Sicherheitslücke ignorierte in einem Beitrag über eine Sicherheitslücke die Microsoft nicht in 90 Tagen schaffte zu patchen...
 
@Mangoral: Nein ich antworte auf einen Beitrag, in dem Google unterstellt wird Lücken in Android zu ignorieren. Lern lesen!
 
@nicknicknick: Ich bin durchaus des Lesens mächtig, doch meine Augen können hier keine solche Aussage finden. Es wird lediglich darüber geschrieben, dass Google bisher keine Patches veröffentlichte über Lücken die länger als 90 Tage alt sind... Lesen und Textverständnis sind unterschiedliche Dinge.
 
@Mangoral: Also besteht für dich ein inhaltlicher Unterschied zwischen "Google unternimmt nichts" und "Google ignoriert Lücken"?! Dann mangelt es dir wohl auch an Textverständnis.
 
@nicknicknick: Zwischen einem nicht durchführen von Aktionen die von der Öffentlichkeit bemerkt werden und dem völligen ignorieren liegt in der Tat ein Unterscheid
 
@Mangoral: Okay also ist es tatsächlich das Textverständnis.
 
@Mangoral: Ich glaube die Lücke die Sie 18 Jahre offen liessen und erst zum Ende von XP geschlossen haben.

http://www.heise.de/security/meldung/Exploit-bringt-Nutzer-aller-Windows-Versionen-in-Gefahr-2457372.html
 
@nicknicknick: Es gibt dutzende in Android 4.1 - 4.3 (fast die Hälfte aller Android Geräte nutzen diese Version) und 4.4.
 
@klink: Okay dann schreib doch einfach "Nein, nur in veralteten Versionen". Wenn Samsung und Co ihre Geräte updaten ist alles in Butter! Man sollte den Verantwortlichen Druck machen und nicht mit dem Finger auf Google zeigen.
 
@nicknicknick: Sorry, aber Sicherheitsupdates sollten nicht einfach mit einer neuen Version des System gepatcht werden. Wenn MS das machen würde, würdest Du hier Theater machen sondersgleichen. 4.1 - 4.3 sowie 4.4 sind auf zig Millionen Geräten drauf. Und solange die Strategie von Google ist, das System jedem frei zugämglich zu machen und das wars dann, ist Google genauso mit schuld, wie die Hersteller der Geräte.
 
@nicknicknick: Würde Google bei den Updates genauso druck ausüben wie welche Bloatware vorinstalliert muss, gäbe es das Problem nicht.
 
@iPeople: Nein wieso sollte ich Theater machen wenn MS das tun und sein System gleichzeitig frei verfügbar machen würde? Es ist genuine Aufgabe der Hersteller, ihre Geräte auf den aktuellen Stand zu bringen. Übrigens sind ungepatchte Lücken in meinen Augen ein Sachmangel, die betroffenen Kunden sollten einfach mal ihre Geräte zurück in die Läden bringen. Was glaubst du wie lange es dann dauert, bis die Hersteller ihren Support verbessern?
 
@klink: Eben drum. Zu meinen Androidzeiten habe ich mich schon darüber geärgert. Und dann greift man zu unausgereiften C-ROMs und verballert Lebenszeit mit dem Lesen von 300 Seiten Forenbeiträgen, weil dies und jenes nicht richtig funktioniert, flasht sich nen Wolf, nur um irgendwann einen Kompromiss zu finden, weil man ein C-ROM nimmt, wo das, was nicht funktioniert einen nicht so wichtig ist.

Ganz einfach Sache: Die Hersteller dürfen ihren Mist nur noch als Addon anbieten, das System wird von Google gewartet, fertig die Laube.
 
@klink: Bloatware gibt es in Stock keine, es sind die Hersteller die irgendwelchen unnötigen Crap installieren.
 
@nicknicknick: Und nun? Was hat die Bloatware mit dem System zu tun? Wenn eine Lücke im Android entdeckt wird, ist das keine Lücke in hersterlspezifische Bloatware. Es sollte also eigentlich möglich sein, das zu trennen und die Updates zentral von Google aus auszurollen. Aber das will Google nicht.

UInd nein, Lücken im System sind kein Sachmangel, da das gerät nach wie vor seiner Aufgabe entsprechend seinen Dienst verrichtet.
 
@iPeople: Sorry aber das ist nun wirklich Unsinn! Auch bei WP sind es die Hersteller (und manchmal noch die Carrier), die Anpassungen vornehmen, Tests durchführen und dann das Update freigeben müssen. Es geht einfach nicht anders!
Edit: Die Frage nach dem Sachmangel ist nicht abschließend geklärt. Wenn sie nicht gepatcht wird, kann durchaus ein Sachmangel angenommen werden.
 
@nicknicknick: Find ich genauso falsch, und nun?
 
@iPeople: Du kannst das falsch finden aber es geht nicht anders, da die Geräte in den Netzen störungsfrei funktionieren müssen und selbst kleinste Änderungen getestet werden müssen. Es ist schlicht technisch notwendig diese Test für jedes Modell durchzuführen.
 
@nicknicknick: das ist falsch, es geht anders....das zeigt das developer preview Programm von wp. Auch ist es so dass die Hersteller an den updates nichts anpassen müssen (sie können). MS ist hier meiner Ansicht nach deutlich zu Herstellernah und zu kundenfern...aber es dürfte ein Eingeständnis an die Hersteller sein damit die "kontrollieren" können was auf ihren Systemen läuft - was aber keine Notwendigkeit ist.

Das sie in den netzen störungsfrei funktionieren, dafür ist so oder so das baseband verantwortlich und das kommt in der tat vom Hersteller

Das Updatesystem von WP läuft halt wie am Desktop ab, hw unabhängig....und das ist sonst bei mobilen Systemen nicht anzutreffen.
 
@0711: Ich kann mir auch AOSP installieren wenn die Gerätehersteller die Binaries zur Verfügung stellen, ist halt trotzdem nicht dasselbe wie das fertige, getestete System.
Hardwarunabhängig kannst du das trotzdem nicht nennen, es gibt bei WP viel engere Vorgaben im Vergleich zu Android und bisher nur eine sehr begrenzte Zahl an Herstellern und Modellen, trotzdem gibt es große Unterschiede bei der Auslieferung von Updates. Ich bin sicher, dass bei vergleichbarer Zahl von Herstellern und größerer Hardwarevielfalt auch ähnliche "Updateprobleme" auftreten würden. Naja, wir werden wir das wohl leider nie erfahren.
 
@nicknicknick: Aha, und an den Tests scheitert es dann, das gar nichts mehr kommt ;) Und was hat ein Kernelupdate damit zu tun? Oder das Fixen von Lücken im Grundsystem von Android?
 
@iPeople: Was? Nein es scheitert am Unwillen der Gerätehersteller, was denn sonst?
Lücken in Android werden von Googles Entwicklern gefixt und die verbesserte Version steht allen Geräteherstellern zur Verfügung. Ob sie diese dann auch auf ihre Geräte ausliefern steht einzig und allein in ihrer Verantwortung.
 
@nicknicknick: Und wo ist der FIX für 4.1-4.3? Das ist es doch, was ich die ganze Zeit sage, es darf einfach nicht den Herstellern überlassen werden.
 
@nicknicknick: WP Updates sind hersteller und geräteunabhängig und jedes gerät erhält dieselben binaries direkt von MS - beim DP Programm auch unabhängig von irgendwelchen Herstellerfreigaben oder sonstwas. Kommen Anpassungen vom Hersteller mit werden diese zwar mit ausgeliefert (oder nachgeliefert) sind aber nicht Voraussetzung für irgendwas. Das hat auch rein gar nichts mit irgendwelchen engen Hardwarevorgaben zu tun.

Das geht bei Android so nicht und ist auch ein Himmelweiter unterschied...es reicht nicht wenn Google die Android Binaries zur Verfügung stellt, die wirst du auf einem xbeliebigen Gerät nicht installieren können.

Da, das Updatesystem von WP exakt so funktioniert wie das von Windows (Desktop) wäre bezweifle ich deine zweite Einschätzung...das DP Programm widerspricht auch deutlich dem was du sagst, es funktioniert

edit da ist aber jemand fleissig am minus durchdrücken, niedlich (nicht du gemeint nicknicknick)
 
@iPeople: Der Fix heißt 4.4 bzw. 5.0 und hat sogar geringere Hardwareanforderungen als 4.3, es gibt also bis auf bedauerliche Einzelfälle kein Argument gegen ein Update auf die gefixten Versionen.
 
@iPeople: eigentlich sind die Hersteller in der pflicht sich um die lücken zu kümmern, immerhin haben die ja auch Geld dafür kassiert.
 
@nicknicknick: doch das gibt es, kosten
 
@0711: Natürlich hat das was mit engen Hardwarevorgaben zu tun! Es ist ungleich aufwändiger, bei einer schier unüberschaubaren Zahl von möglichen Hardwarekombinationen ein überall perfekt laufendes System auszuliefern als bei einer handvoll! Wenn es exakt so funktioniert wie auf dem Desktop dann frage ich mich, warum Updates eben doch nicht auf allen Geräten (nicht mal auf allen Lumias, wenn man Diskussionen von WP-Nutzern hier glauben darf) ohne Verzögerungen ausgeliefert werden. Eben weil sie doch für jedes Gerät angepasst und getestet werden!
 
@0711: Ja aber wenn die Kunden konsequent wären dann würden die Hersteller sehr schnell umdenken. Und ich bin nach wie vor der Meinung, dass eine ungepatchte Sicherheitslücke, bei der der Hersteller keinerlei Anstalten macht sie zu schließen, einen Sachmangel darstellt, wenn das SP dadurch nicht mehr ohne unzumutbares Risiko für normale Nutzung geeignet ist.
 
@nicknicknick: Wieso sollte es? Nenne mir einen technischen grund. Die treiber werden beibehalten ,die hal ist kompatibel...dinge die dasselbe vorgehen auch auf dem desktop ermöglichen ermöglichen das auch auf mobilgeräten, die schier unüberschaubare zahl von möglichen hw Kombis hat man auf dem Desktop noch viel eher.

Bei den Lumias werden i.d.R. auch Firmwareupdates mit ausgeliefert (+ es sollen noch neuere lumia apps gleich mit ausgeliefert werden aber die sind ja für alle gleichzeitig fertig aber führt zu einer Verzögerung von update fertig - auslieferung) - was zu Verzögerungen führt, wie schon mehrmals geschrieben kann man diese Verzögerung aber umgehen indem man am dp teilnimmt (kann jeder mit jedem wp8 gerät)....das firmwareupdate kommt dann halt später ist aber nicht nötig damit man das systemupdate erhält.

Obendrein sieht bei Branding geräten MS offenbar die Provider als OEM/Herstelelr weshalb die hier noch ihren Senf dazugeben dürfen (welche widerrum auf das ok vom oem/Hersteller warten, welches MS ebenso zugesteht) aber auch hier, mit dp lässt sichs umgehen.
 
@nicknicknick: ich folge dir in der Argumentation aber
- kunden interessiert das updateverhalten der Hersteller (derzeit) offenbar zu wenig...vermutlich bis es "kracht"
- den sachmangel durchzudrücken wäre ein schöner Präzedenzfall, ich persönlich meide aber einfach derartige Hersteller/Systeme...trotzdem würde ich es begrüßen wenn da mal einer vor gericht zieht (wobei hier vermutlich schnell ein einlenken des Herstellers kommt und der kunde eben ein neues gerät bekommt)
 
@0711: Ich kenne den technischen Grund für diesen Unterschied zwischen Desktop und Mobilsystemen nicht, dafür bin ich nicht tief genug in der Materie. Ich lese nur, dass es eben doch auch bei WP Verzögerungen gibt. Wenn die Developer Preview so reibungslos läuft, warum werden dann passende Firmwareupdates mitgeliefert? "Irgendwie" läuft AOSP auch direkt nach Veröffentlichung einer neuen Android-Version auf meinem Gerät, kann halt nur sein, dass z.B. das GPS nicht funktioniert. Also warum wartet MS dann sogar bei den eigenen Geräten mit der Verteilung?
 
@0711: Eben genau deswegen. Ich z.B. habe mal von meinem Provider nach längerem hin und her mehr als ein halbes Jahr nach Kauf eines Samsung-Geräts den Neupreis erstattet bekommen, weil eine beworbene Funktion schlicht nicht vorhanden war :)
 
@nicknicknick: Warum sie warten kann dir nur MS beantworten, fakt bleibt, die DP funktioniert für alle Geräte und die technische Begründung liegt in dem oben genannten - was android nicht bieten kann denn hier fehlt schlicht der Abstraktionslayer für die Treiber.
Die Firmwares enthalten i.d.R. nur allgemeine Verbesserungen.
 
@nicknicknick: 4.4 ist kein FIX, sondern eine höhere Version des BS. Ubuntu 12.4 heißt auch nicht auf einmal 12.5, nur weil etwas gefixt wurde.
 
@0711: Wenn ich einen Computer von DELL kaufe, wo bekomme ich die Updates her? Richtig, von MS (Windows mal vorausgesetzt).
 
@iPeople: Das ist doch Wortklauberei, Fakt ist: Die Fehler sind von Google behoben worden und jetzt ist es Aufgabe der Hersteller, im Interesse IHRER Kunden zu handeln und diesen eine sichere Android-Version zur Verfügung zu stellen.
 
@nicknicknick: Nein, ist es eben nicht. Mit dem Release einer neuen Version kommen mitunter neue Features dazu, das System wird etwas größer und umfangreicher. Nicht selten geht das damit einher, dass die ROMs dann nicht mehr auf z.B. abgespeckte Geräte passen. Da kann es gar kein Update geben, es sei denn, die Hersteller lassen alles weg. Und dann schaut der Kunde blöd aus der Wäsche, wenn nach einem Update auf einmal Touchwiz, Sense oder whatever weg ist und alles anders aussieht. Mit einem einfache FIX einer Lücke per OTA wäre das anders, darauf wollte ich hinaus.
 
@iPeople: Jetzt tust du so als wäre den Herstellern nicht schon während der Entwicklung bewusst, dass sie ein paar MB für Updates zusätzlich einplanen müssen. Manmanman, so auf Kante zu nähen ist doch kein Argument!
 
@iPeople: Das ist schon richtig aber trotzdem bleibt DELL für die Behebung Verantwortlich bzw für dich der rechtliche Ansprechpartner um Sachmängel zu beseitigen (was eine Sicherheitslücke ist)

Dell hat halt entsprechende Abmachungen mit MS, deshalb liefert dell z.B. auch keine Systeme mehr mit xp aus ;)
MS hat an entsprechenden Abmachungen auch ein Interesse da sie ja "mitverdienen" aber Vertragspartner der Sache ist DELL (und wenn du den Dell Rechner bei alternate kaufst, ist es alternate)
 
@nicknicknick: Du argumentierst am Problem vorbei. Solange Google diese Praxis und diese Strategie zulässt, sind sie für mich mit schuld.
 
@0711: Wer hat eigentlich das Gerücht in die Welt gesetzt, eine Lücke im BS wäre ein Sachmangel?

Richtig, weil es keinen Support mehr gibt. Das ist aber nicht das, worauf ich hinaus wollte.

Ich sehe das einfach so. Die Strategie von Google, es den Herstellern zu überlassen, ist gescheitert. In Zukunft sollte Google den Weg gehen, dass die Hersteller ihre Aufsätze nur noch optional anbieten dürfen ohne tiefe Verankerung im System sämtliche Updates, die das System "Android" betreffen, kommen direkt von Google. Das wäre nichtmal umständlich zu lösen. So könnten Lücken einfach gepatcht werden, ohne dass eine neue Version des BS aufgespielt werden müssen.
 
@iPeople: Ja für dich. Genauso wie es für mich einen Sachmangel darstellt, wenn ein Produkt nicht die zugesicherten Eigenschaften besitzt. Ein Smartphone, mit dem ich nicht mehr sicher online gehen kann weil es bekannte, offene Sicherheitslücken besitzt und der Hersteller keine Bereitschaft zeigt, Abhilfe zu schaffen, ist für mich so ein Fall!
 
@nicknicknick: Und hattest Du mit dieser Ansage schon Erfolg bei einem Händler?
 
@iPeople: Was soll eine defekte(!) Software sonst sein? Lücken sind nichts anderes als ein defekt/fehler am Produkt, der Hersteller hat natürlich das recht nachzubessern aber wenn er das nicht macht....

Doch das wäre teilweise sehr umständlich lösbar, macht apple übrigens auch nicht ;)
 
@iPeople: Nicht wegen einer Sicherheitslücke aber wegen einer beworbenen und fehlenden Funktion, die trotz anderslautender Beteuerungen nicht nachgereicht wurde. Mehr als ein halbes Jahr nach Kauf gabs den vollen Kaufpreis zurück, ich würde das schon als Erfolg bewerten.
 
@nicknicknick: Das ist aber etwas völlig anderes.
 
@0711: Ich würde mich da jetzt nicht streiten wollen. Möglicherweise hätte man damit Erfolg.

Was macht Apple nicht? Und was hat Apple jetzt damit zu tun?
 
@iPeople: bezüglich apple, das was du von Google forderst mit dem patchen unabhängig vom gerät
Apple habe ich als Beispiel genommen weil es hier keine "aufsätze" gibt, auch bei apple müssen die updates an jedes gerät angepasst werden.
Hätte aber zugegebenermaßen auch Nexus geräte nehmen können aber das zeigt wenigstens dass was "so einfaches" auch von anderen Herstellern nicht gemacht wird
 
@0711: Weiß nicht, ob man das vergleichen kann.

Ich geb mal nen Beispiel: Eine Lücke im System Android versteckt sich in einer bestimmten Datei. Diese Datei ist auf JEDEM Gerät vorhanden, evtl sogar vom Hersetller des Gerätes völlig unverändert. Was spricht dagegen, dass diese Datei direkt von Google gepatcht werden könnte?
 
@iPeople: Sehe ich anders. Das Gerät ist nicht zu dem Zweck geeignet, für den es beworben und verkauft wurde.
 
@iPeople: Ich antworte mal für 0711: Weil Google gar nicht wissen kann, ob Hersteller x irgendwas an der Datei verändert hat oder ob es Abhängigkeiten von genau dieser Datei gibt! Wie sollen sie sie dann einfach patchen?
 
@nicknicknick: Und nachfragen geht auch nicht?
 
@iPeople: Bei allen Herstellern? Für jedes Modell??
 
@nicknicknick: Whatsappgruppe mit allen Herstellern ;)
 
@iPeople: Endlich ein konstruktiver Vorschlag. Ich glaube das funktioniert deswegen nicht, weil Google die alle per Hangouts eingeladen hat :-D
 
@nicknicknick: Grins ... Problem gelöst :p
 
@Unglaublich: wenn man bedenkt, dass in 90 Tagen die Analyse, die Behebung, das Testen bei Microsoft und und auch in Unternehmen durchgführt werden muss, dann ist die Haltung von Google einfach nur eine riesige Frechheit. Von eigenen Produkten bei Google und deren Updatefähigkeit; das passt in die egoistische Haltung, die Google an den Tag legt. Die Neuentwicklung bei Google passiert zwar in einer rasanten Geschwindigkeit; die Produktpflege ist aber ein Witz - aber die größere Herausforderung als ständig nur auf der grünen Wiese zu beginnen.
 
@TurboV6: Du willst mir erzählen, es ist für einen Softwaregiganten wie Microsoft nicht möglich binnen eines Quartals eine gemeldete Schwachstelle - wenn schon nicht endgültig, dann zumindest provisorisch zu schliessen?
Die Vorgehensweise von Google finde ich persönlich für den Kunden sogar von Vorteil. Google hat Microsoft zu verstehen gegeben, dass sie nicht bereit sind, auch nur einen Tag länger als die gegebenen 90 Tage mit der Veröffentlichung zu warten. Ich hoffe das hat Microsoft verstanden und wird in Zukunft die benötigten Ressourcen in das Sicherheitsteam stecken.
 
@gutenmorgen1: Ich würde deinen Kommentar ja verstehen, wenn Microsoft nichts unternommen hätte, aber es ging um 2(!) ver#%"&§$* Tage, die Google hätte warten müssen, weil der Patch sowieso am nächsten Tag gekommen wäre. Wie kann man eigentlich nur so stur, dumm und unflexibel sein?
 
@gutenmorgen1: Was ein Quatsch. Ich bin grundsätzlich zwar dafür, dass Lücken veröffentlicht werden. Aber man sollte dem Hersteller Zeit geben eine Lösung zu entwickeln. Und hier hatte Microsoft explizit um etwas Aufschub gebeten. Damit kommt die Veröffentlichung von Google einem Angriff auf die Endbenutzer gleich. Und wie komplex die Lösung des Fehlers war, kannst Du nicht beurteilen (und ich auch nicht). Aber stell Dir vor, Porsche bekommt einen Fehler in einem Motordesign gemeldet. Glaubst Du, dass sie in 90 Tagen einen neuen Motor entwickeln können? Wohl kaum. Und Betriebssysteme sind um Welten komplexer als Automotoren.
 
@Nunk-Junge: Von mir ein Plus. Und wer es nicht kapieren will, dass Windows und andere Betriebssysteme viel komplexer sind, als z. B. Google Chrome oder Firefox, sollte lieber mal ein komplett neues Betriebssystem samt neuen Kernel (welcher absolut nicht! auf Unix, den Linux Kernel oder anderen bereits existierenden Kernel basiert), und dabei keine Sicherheitslücken und/ oder irgendwelche sonstige Fehler im Programmcode einbauen/verursachen. Die würden es garantiert nicht schaffen, den Code komplett fehlerfrei zu halten/bekommen. :D
 
@TurboV6: Vor allem da man weiß, dass im Moment alle kompetenten Programmierer an Windows 10 arbeiten und man somit für den Support der älteren Windows Versionen kaum Kapazitäten über hat.

@Nunk-Junge Was Du allerdings bei Deinem Angriff vergisst, was wenn die Lücke z.B. unseren Freunden von der NSA schon länger bekannt ist oder Hackergruppe XYZ und diese die schon seit nem Jahr ausnutzt? Eine Sicherheitslücke sollte absolute Priorität haben und die echten Hämmer gehören nicht nur am MS Patchday geschlossen sondern der Patch gehört ASAP veröffentlicht und sollte auch mit entsprechender Manpower bearbeitet werden.

Erst die Sicherheit des Systems dann neue Gimmicks oder neue Versionen, vor allem da solche Sicherheitslücken meist in neuere Versionen des OS mit geschleppt werden. Somit sorgt das schließen einer Sicherheitslücke auch in zukünftigen OS Versionen für mehr Sicherheit.
 
Es ist gar nicht die Frage "wer Recht hat", sondern ist Sicherheit Terminierbar, es ist die Frage wie viel ist zumutbar?
Microsoft hatte 90 Tage Zeit ein genau spezifiziertes Sicherheitsproblem für seine Nutzer abzuwenden, Nicht es zu Patchen!
Ein Deaktivieren hätte z.B. ausgereicht um die Sicherheit (auf Zeit) wiederherzustellen.
Nein Microsoft hält an seinen Obsoleten Pachtday fest und wollte es im Februar Patchen, nur dann die Veröffentlichung zwang sie es auf Januar vorzuziehen.
Also "Geht doch", es fehlte nur die Motivation!

Experte: eine Person, die wortreich erklären kann, warum alles nicht so gekommen ist, wie sie es angekündigt hatte!
 
@Kribs: Deaktivieren. Der Funktion seitens Microsoft via patch bis es korrigiert ist?
 
@-adrian-: Es war nur ein Beispiel, weil die Art des Bug es nahelegt.
Worum ging es überhaupt?
Um diese Sicherheitslücke auszunutzen, die im Lokalen Netzwerk nur von "Eingeloggten" User ausgeführt werden kann, muss der User also über die Lokalen Zugangsdaten verfügen.
 
@Kribs: Seltsam, was du schreibst:

"Am 8. Januar hatte Microsoft Google zufolge jedoch schon bestätigt, dass es ein Update für Januar 2015 plant."

http://www.zdnet.de/88215782/microsoft-kritisiert-google-wegen-offenlegung-von-weiterer-windows-8-1-luecke/

"Microsoft hat Google allerdings darauf hingewiesen, dass im Rahmen des Januar-Patchdays ein Update bereitgestellt werden wird, das die Lücke schließt, und Google deshalb gebeten, die Lücke erst zwei Tage später mit Verfügbarkeit des Updates offenzulegen."

http://www.computerbase.de/2015-01/google-legt-luecke-in-windows-8.1-offen-microsoft-veraergert/
 
@klein-m: Zitat : unter "Microsoft spricht"
" Ursprünglich plante Microsoft, die Lücke erst im Februar zu schließen."
http://www.heise.de/newsticker/meldung/Google-verraet-Windows-Luecken-zwei-Tage-vor-dem-Patch-Microsoft-tobt-2516168.html
Siehe auch:
http://blogs.technet.com/b/msrc/archive/2015/01/11/a-call-for-better-coordinated-vulnerability-disclosure.aspx
 
@Kribs: "Microsoft antwortete daraufhin, dass die Lücke doch schon zum Januar-Patchday geschlossen werde."

Und das war vor der Veröffentlichung! Also vollkommen Murks, den du mit

"Nein Microsoft hält an seinen Obsoleten Pachtday fest und wollte es im Februar Patchen, nur dann die Veröffentlichung zwang sie es auf Januar vorzuziehen. "

schreibst!
 
@klein-m: Für dich, im speziellen, noch mal den gesamten Text:

"Beide Seiten bestätigen, dass Microsoft versucht hat, diese Frist zu verlängern. Ursprünglich plante Microsoft, die Lücke erst im Februar zu schließen. Als das Unternehmen fragte, ob das angesichts der bei Google üblichen 90-tägigen Schonfrist ein Problem sei, antwortete Google, dass die Frist für alle Hersteller und für alle Arten von Bugs gelten. Microsoft antwortete daraufhin, dass die Lücke doch schon zum Januar-Patchday geschlossen werde."
 
@Kribs: Für dich, ganz einfach, in Babysprache:

08. Bubu: Microsft sagen Patch am 13. Bubu
12. Bubu: Google zeigen Exploit
13. Bubu: Microsoft liefern Patch

->

"nur dann die Veröffentlichung zwang sie es auf Januar vorzuziehen. "

= totaler Ah-Ah
 
@klein-m: Oh ..., nicht verstanden, das eine >Angekündigte Veröffentlichung< Microsoft dazu zwang das Patch vorzuziehen?
 
@klein-m: Es ist Sinnlos weil du en nicht verstehen willst, du willst mir nur wiedersprechen!

1. Sicherheitsforscher findet Bug
2. Sicherheitsforschermeldet Bug mit Fristsetzung
3. Microsoft plant Patch für Febuar
4. Microsoft fragt Googles Project Zero um Fristverlängerung
5. Googles Project Zero sagt nein
6. Microsoft veröffentlicht Patch im Jannuar
 
@Kribs: Es ist echt zwecklos, weil DU DEINE EIGENE VOHER GESCHRIEBENEN WORTE NICHT VERSTEHST!

"nur dann die Veröffentlichung zwang sie es auf Januar vorzuziehen."

DENN DIE SAGEN WAS ANDERES AUS!

Was du in re:5 schreibst, ist vom Inhalt nämlich ein ganz anderer!
 
@klein-m:
Kann dir nicht mehr helfen, wenn du eine Ausdrucksform nicht nachvollziehen kannst, hilft eine höfliche Nachfrage immens, aber darum geht es dir ja nicht.
 
@Kribs: Also bin ich Schuld, wenn ich dich drauf hinweise, dass du Murks schreibst udn du darauf von dir selbst nicht deinen Fehler eingestehen kannst?

Darum geht es dir ja eigentlich nur: DU wolltest deinen Fehler nicht eingestehen, deswegen heulst du jetz trum...

UND DAS KONNTEST DU NOCH NIE, ABER HAUPTSACHE "DISKUTIEREN"...
 
@klein-m: Ich bin mir keines Fehlers im Sinne der Formulierung bewusst, noch kann ich deine Interpretation >Meiner Formulierung< nachvollziehen.
Wenn du meinst, das ich deine widerkehrenden Angriffe unkommentiert stehen lasse, bist du kolossal im Irrtum, wobei ich mir das Recht vorbehalte dich zu ignorieren.
Vieleicht sollte ich dich auch daran erinnern, das DU meintest mich korrigieren zu müssen, das DU der Auffassung bist das alleinige recht auf Recht zu haben.
Zum ENDGÜLTIGEN Schluss noch eine Antwort auf das "deswegen heulst du jetz trum...", der einzige der hier einen ZWERGEN-Aufstand veranstaltet bist DU.
 
@Kribs:

"Ich bin mir keines Fehlers im Sinne der Formulierung bewusst,..."

"Weil es immer einfacher ist die "Schuld" bei anderen zu suchen als das eigene Haus sauber zu halten!"

...mehr braucht man dazu wohl nicht sagen.
 
@Kribs: Der monatliche Patchday ist ein Segen für alle Admins. Microsoft veröffentlich aber sicherheitskritische Patches auch außerhalb der Reihe.
 
@Nunk-Junge: Ja da die wirklichen "Admins" auch die Mehrheit der Nutzer darstellen, und die Ständige "Handreichung" von Microsoft bedürfen, weils alleine nicht geht?
 
@Kribs: Admins arbeiten für Unternehmen, und wenn es um Windows geht, sind immer noch die Unternehmen die wichtigsten Kunden für MS.
Die Admins die ich so kenne, befürworten den kalkulierbaren Patchday.
 
@crmsnrzl: Die ich kenne, sind nicht viele, behaupten das es ihnen egal ist, weil sie sowieso jeden Pacht nacheinander abarbeiten und Wochen vergehen bis alle eines Termins eingespielt sind oder auch nicht.
 
@Kribs: Da stellt sich eher die Frage, wie du die Veröffentlichung der Lücke überhaupt befürworten kannst, wenn nun nach release es noch Wochen dauert, bis der Patch tatsächlich auch eingespielt wird von den Admins dieser Welt.
 
@crmsnrzl: Ach Gott, der Nächste bitte:
1. ein Admin sollte in der Lage sein, Pachtes auf ihre Dringlichkeit zu prüfen und zu bearbeiten
2. ein Admin sollte dazu in der Lage sein, seine Arbeit und das einspielen auf seine Umgebung (Firma/IT Infrastruktur) anzupassen.
3. ein Admin sollte wissen, wann er Hilfe und oder Unterstützung benötigt, um seine Arbeit zu machen.
4. ein Admin sollte wissen, welche Aufgaben er an das Ende der Ablaufliste er schieben kann
Damit werden "unwichtige / nicht zeitlich Drängende" auf den letzten Plat verschoben bis es Zeitlich möglich oder sinnvoll ist diese zu bearbeiten!

Kann macht das ein Admin nicht ist er schlicht fehl am Platz!
 
@Kribs: Planbarkeit hilft aber diese "ablaufliste" einzuhalten.
 
@0711: Diese Planbarkeit ist jetzt aber noch weiter eingeschränkt dadurch das Microsoft keine Vorabinformationen über Patch liefert.
Admins bekommen jetzt "Überrachungspakete"!
 
@Kribs: die vorabinfos waren eh immer für n hintern und hat kaum - niemand genutzt (weshalb sie ja eingestampft werden).
Beschäftigt wird sich mit den updates bei release
 
@0711: Siehst du so unterschiedlich sind die Herangehensweisen, ich habe die Vorabinformationen immer als sehr hilfreich eingestuft bzw. die Vorbereitung der Portierung meiner Ablaufliste.

Nur zu Info keins der Minus ist von mir!
 
@Kribs: wenn man nach den gründen geht warum MS die vorabinfos nicht mehr rausgibt scheinst du da wirklich einer der wenigen gewesen zu sein ;)

wegen minus, ich hab wohl grad n Stalker :D
 
@0711: Ich weiß es ehrlich gesagt nicht, doch vermuten würde ich eher andere Gründe als das "nicht Interesse" daran, zumal man sich ja nicht anmelden musste um die Liste zu bekommen oder sie mittels Account bekam.
Ich glaube/vermute es geht, wie meistens, um Einsparungen, ein Mitarbeiter der anders beschäftigt wird, der "Freigestellt" wird?.
 
@Kribs: Sicher wird da auch Kosten/Nutzen Rechnung zum tragen gekommen sein - war halt was MS offiziell gesagt hat und dass man dinge nicht verfolgt die "niemand" interessieren sind ja auch dinge die sich nicht rechnen und deshalb wegrationalisiert werden. Würde sich also nicht widersprechen
 
@Kribs: soweit ich mitbekommen hab hat MS nur um aufschub um die paar tage zum Januar patch day gebeten, nicht um einen Monat

Ein deaktivieren bedeutet aber auch funktionale Einschränkung womit man viele user nicht konfrontieren kann, deshalb ist diese hypotetische Möglichkeit meist nicht praktikabel oder max für die leute die sich damit beschäftigen.

Allerdings halte ich die lücke eh nicht für sooo schwerwiegend....
 
@0711: Es war vorab von Microsoft für den Februar geplant, deshalb wurde bei Project Zero um Fristverlängerung nachgesucht, die sie da Ablehnten, dann wurde durch Microsoft das auf den Patchday im Januar vorgezogen und Project Zero um Aufschub von 2 Tagen gebeten (Veröffentlichung zu Patchday) das hat Project Zero (noch im Dezember) auch abgelehnt mit dem Hinweis der Einzelveröffentlichung (Patch).

Das sind Informationen die ich von Heise/Golem/Microsoft Bulletin (Microsoft Security Response)/ua. habe, für deren Richtigkeit ich als Person nicht garantieren kann.

https://code.google.com/p/google-security-research/issues/detail?id=123
 
Erst wenn Google Druck auf seine Androidhersteller macht, Lücken zu schließen die die Anwender gefährden, erst dann hat Google das Recht Konkurrenten oder Drittanbieter unter Druck zu setzen.
 
@Knarzi81: Man müsste die Hersteller die keine Sicherheitsupdates mehr bringen wollen, zwingen die Treiber der Geräte als opensource zu veröffentlichen. Denn fehlende Treiber ist das größte Hindernis für alternative Android Versionen.
 
@klink: Das sind 2 völlig verschiedene Paar Schuhe.
 
Warum wird eigentlich Windows mit Android gleichgestellt? Wenn dann Windows und ChromeOS. Das Samsung Omnia 7 erhält auch keine Updates mehr. Also wo ist der Unterschied? Darüber was Google gemacht hat lässt sich streiten.
 
@blume666: Welche Lücken wären denn in Windows Phone 7 zu schließen per Update?
 
@iPeople: Das steht doch gar nicht zur Debatte! Es geht darum, dass der Support bei MS direkt angeboten ist und das ist bei Android nur bei den Android One, Google Play Store und Nexus Varianten so. Alle anderen Updates machen den Weg über den jeweiligen hardwarehersteller, der letzten Endes - teilweise auch nach treibersupport - das letzte Wort über ein Update hat. Das ist halt der Fluch und Segen von Android. So wie es alle anderen Betriebssystem eben auch haben.
 
@blume666: Dann sollte darüber mal nachgedacht werden. Die Strategie ist dann offensichtlich nicht optimal und gehört geändert.
 
@blume666: Windows und Android sind beides Betriebssysteme. Das eine von Microsoft, das andere von Google.
 
@Nunk-Junge: Das eine ist aber ein Desktop OS wie Chrome OS und das andere ein Mobiles Betriebssystem, welches von den Herstellern geforked wird, die teilweise damit ihren Unfug treiben.
 
@blume666: Das Samsung Omnia hatte einen Supportzeitrahmen vom Release im Oktober 2010 bis Oktober 2014. Denn da lief der lange vorher angekündigte Supportzeitrahmen aus. Also die Ankündigung, die Google von jetzt auf gleich machte.
 
@blume666: Weil es immer einfacher ist die "Schuld" bei anderen zu suchen als das eigene Haus sauber zu halten!
 
@Kribs: Das beschreibt Google hervorragend. Danke für diesen Post!
 
@Knarzi81: Ja, du schreibst es!
 
@blume666: zeitlich würde das omnia 7 aber deutlich besser dastehen...
 
Es bleibt spanned, wann diese "Experten" kapieren, was Kapitalismus und Konkurrenz-Kampf ist. Warum sollte Google denn Bitte die Gelegenheit Microsoft eins Reinzuwürgen verstreichen lassen?

Nebenbei bin ich mir fast sicher, dass gerade Microsoft nicht mit dem moralischen Zeigefinger auf andere deuten sollte :).
 
@erso: MS verfährt da ziemlich "anbieterfreundlich"....

ob das oder jenes nun "richtig" ist lass ich einfach mal unbewertet.
 
@erso: Weil die Folge daraus eine Auge um Auge, Zahn um Zahn Metalität ist, bei der der Leidtragende einzig und allein der Kunde ist.

Denn die Veröffentlichung einer Lücke schadet keinesfalls dem Entwickler, sondern in erster Linie erstmal dem Kunden bei dem die Lücke ausgenutzt wird.

Und ich mag ehrlichgesagt nicht in einer Welt leben müssen in dem Unternehmen Abteilungen betreiben, die nur darauf ausgelegt sind Fehler bei der Konkurenz zu finden um negative PR zu verbreiten...

Druck machen ja, aber bitte mit einem gesunden Augenmaß. Sobald sich ein Hersteller bewegt und eine Problemlösung mit Termin verspricht, sind sämtliche Fristen meiner Meinung nach hinfällig. Sollte sich der Hersteller NICHT an den selbstgestellten Termin halten, kann man immer noch veröffentlichen.
 
Ohne jetzt hier alle Kommentare gelesen zu haben...stellt sich mir die generelle Frage:

WARUM ZUM TEUFEL NIMMT SICH GOOGLE ÜBERHAUPT DAS RECHT RAUS ANDEREN UNTERNEHMEN IRGEMDWELCHE FRISTEN ZU SETZEN?

Weder nutzt MS Software von Google , noch braucht Google sich nicht so aufzuspielen als wären Sie die "I-net police"!

MS kommt ja auch nicht an und sagt "hier Apple...90Tage"

Eher beschleicht mich das Gefühl, Google will mit aller Macht und unlauteren Mitteln MS mit Windows irgendwie bloß stellen, um auf längere Sicht ihr "tolles" Chrome OS weiter in den Markt zu drücken
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles