Google veröffentlicht schon wieder ungepatchte Windows-Lücke

Die Sicherheits-Forscher des Suchmaschinenkonzerns Google haben erneut eine Lücke in Microsofts Windows-Systemen öffentlich gemacht. Einen Patch wird es wohl erst ein einigen Wochen geben, nachdem es dem Hersteller nicht gelungen war, den Fehler ... mehr... Daten, Code, Virtualisierung Bildquelle: Free for Commercial Use / Flickr Quellcode, Code, Programmiersprache, Php, Source Code Quellcode, Code, Programmiersprache, Php, Source Code Free for Commercial Use / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wenn ich das schreibe, was ich von Google in dem Fall halte, werde ich jetzt hier gesperrt.
 
@Tintifax: Wahrscheinlich genausowenig, wie wenn ich schreibe, was ich in diesem Fall von MS halte ;)
 
@Tintifax: Mir scheint, dass Google mit allen Mitteln versucht MS Schaden beizufügen. Das Dreiste an der Sache ist, dass sie es versuchen so hinzustellen, dass sie es zum Wohl des Endanwender machen. Es gibt aber immer welche, die das auch noch glauben und mit allen Mitteln rechtfertigen wollen.
 
@Rumulus: Natürlich, das ist der einzige Grund. Jetzt egal ob es MS oder nicht schadet: Es schadet Milliarden an Usern. Die vermutlich Großteils auch Google User sind. Gratulation Google, gut gemacht! Es ist nur zu hoffen, dass die Leute imstande sind zu verstehen, dass in dem Fall Google die bösen sind, und Bugs einfach in jeder Software sind...
 
@Tintifax: Fantastilliarden!!
 
@Tintifax: Selbst die Experten dieser Welt streiten sich darüber, was sinnvoller ist. Wenn die wüssten, dass sie nur Tinitfax Forentroll konsultieren brauchen...
 
@Niccolo Machiavelli: :) Forentroll gefällt mir... Muss ich mir merken, muss man nicht mehr auf Argumente reagieren! :)
 
@Tintifax: Argumente? Wo denn?
 
@Rumulus: Dir scheint es, sagt doch alles.
Genauso wie dein zwischen den Zeilen lesen und daraus zu schließen, dass Google sich als Wohltäter hinstellen will.
Das schlimme daran ist, dass du dass auch noch glaubst und mit allen Mitteln versuchst die, die das etwas anders sehen, zu denunzieren.
 
@Rumulus: Marketing ja aber
Schlecht dass danach gesucht wird? Sicher nicht
Dass es an den Hersteller gemeldet wird (anstatt sie auf dem Schwarzmärkten oder sonstigen dubiosen Geschäftemachern zu verschachern), richtig gut

Das die Medien mehr draus machen als es ist, auch klar...
 
@Rumulus: die versuchen damit lediglich von ihren eigenen Problemen abzulenken!
http://www.it-sicherheit.de/startseite/news/10-millionen-schaedliche-android-apps/
oder
http://diepresse.com/home/techscience/mobil/4638075/930-Millionen-AndroidNutzer-bleiben-ohne-SicherheitsUpdate
 
@b.marco: Den Eindruck habe ich auch.
 
@b.marco: die, die es melden haben nur nichts damit zu tun...
 
@0711: wieso nicht?
"Bugs found by the Project Zero team are reported to the manufacturer and only made publicly visible once a patch has been released or if 90 days have passed without a patch being released. The 90-day-deadline is Google's way of implementing responsible disclosure, giving software companies 90 days to fix a problem before informing the public so that users themselves can take necessary steps to avoid attacks."
Ich finde, die sollten erstmal vor ihrer eigenen Haustüre kehren und sämtliche Android Versionen abdichten. Es ist einfach seltsam, dass es solch ein Team gibt, was bei der Konkurrenz sucht, man selbst jedoch ein Produkt hat, was nicht 100% sicher ist. Das hat einfach einen faden Beigeschmack.
 
@b.marco: weil das Project Zero Team nichts mit der Entwicklung von Android zu tun hat
 
@0711: haben sie denn etwas mit der Entwicklung von Windows zu tun? Nein, sie decken Schwachstellen auf, daher auch meine Aufforderung erstmal die Schwachstellen aus Android zu beseitigen anstelle auf ein anderes Betriebssystem zu schauen.
 
@b.marco: wenn sie gerade bei Android nichts vorzuweisen haben oder die "Deadline" nicht abgelaufen ist, sollen sie dann Däumchen drehen?
 
@b.marco: Magst du uns noch die Anzahl der Windows Malware nennen? Nur um einen sinnvollen Kontext herzustellen. Und Google patcht Android 4.3 sehr wohl. Die Patches tragen den Namen Android 4.4.x und 5.x.
 
@Niccolo Machiavelli: mir ist keine bekannt :) (zumindest nicht für Windows Phone 8). Wenn der patch von Android 4.3, 4.4.x ist, dann frage ich mich, warum mein Acer A100 bei Android 4.1.x stehen geblieben ist.
 
@b.marco: Windows, nicht nur Windows Phone. Ansonsten grenze ich das ganze mal vorteilhaft für Google auf den Chromecast ein.

Und das musst du Acer fragen. Ansonsten mache ich Microsoft zukünftig dafür verantwortlich, welches Windows auf OEM-PCs installiert ist.
 
@Niccolo Machiavelli: versteh ich jetzt nicht?! Sämtliche Windows die auf OEM-PCs installiert sind, sind von Microsoft und werden auch nur von diesen aktuallisiert... da hat kein Hersteller etwas zu sagen :) schlechtes Beispiel...
 
@Niccolo Machiavelli: Welche aber nicht für jedes Android Smartphone, Tablet, was auch immer verfügbar sind. Der Patch ist absolut nutzlos, wenn es nicht an allen betroffenen Systemen verteilt wird (woran sowohl Google (wegen der schlecht desingten Androidsystemstruktur, als auch die Android Smartphone/Tablet Hersteller, weil sie ständig meinen, Systemkomponenten von Android unbedingt austauschen zu müssen, und den Launcher fest im System verdrahten müssen). Da liegt ein ganz gewaltiger Systemdesignfehler seitens Android vor.
 
@b.marco: Seltsam. Auf meinem Rechner läuft immer noch Windows 7. Dann muss bei mir das Update auf 8 wohl vergessen haben.
 
@eragon1992: Ach Junge, du weißt ja nicht, wovon du laberst. Androids Systemarchitektur ist erstmal nicht schlechter oder besser als meinetwegen die von Windows. Android wird aufgrund der Lizenzbedingungen aber als OEM-Software weiter verteilt, womit der Hersteller alle Pflichten und Möglichkeiten rund um das Betriebssystem übernimmt. Nicht Google ist als Kunde dein Ansprechpartner, sondern der Hersteller. Und wenn der nicht spurt, muss man halt wo anders kaufen. Womit sich auch wiederum zeigt, dass das ein dermaßen aufgebauschtes Problem ist. Denn die Kunden haben offensichtlich ja kein Interesse daran.
 
@Niccolo Machiavelli: man sollte vergleichbare Plattformen miteinander vergleich und nicht willkürliche vergleiche anstellen

Android = Windows phone
IE = Chrome
usw usf
 
@Niccolo Machiavelli: und doch Android systemarchitektur ist deutlich käsiger als die von wp oder ios.

Bei Android ist auch das Problem für die Hersteller, gefixten code bekommen sie - sofern nicht selbst entwickelt - frühestens nachdem Google diesen schon verteilt
 
@0711: Dann lass uns mal an deinem geheimen Druidenwissen teilhaben. Was ist "käsiger"?
 
@0711: Ich war es nicht, der Windows mit Android vergleichen wollte.
 
@Niccolo Machiavelli: eins hab ich ja schon genannt, es gibt kein vernünftiges updatesystem.
Isolated Storage, fehlanzeige obwohl das dem user präsentierten rechtemodell sowas sugerriert - apps können munter auf andere speicherbereiche zugreifen die nicht "ihnen gehören". Ja sowas gibt es auch auf dem Desktop allerdings wird hier eine derartige Abschottung durch die "angeforderten Berechtigungen" nicht suggeriert im Gegensatz zu den mobilen Plattformen
Ob weiterhin jede app auf den Browser zugreifen darf auch wenn keine recht angefordert sind weiß ich gerade nicht aber auch das steht dem suggerierten Berechtigungsmodell massiv entgegen. (siehe 3.4 z.B. in http://www.aisec.fraunhofer.de/content/dam/aisec/Dokumente/Publikationen/Studien_TechReports/deutsch/AISEC-TR-2012-001-Android-OS-Security.pdf )

Da sind teils konzeptionelle schwächen drin die man eben bei der Konkurrenz nicht hat und teils auch schon ewig bekannt sind - keine frage, es wäre illusorisch anzunehmen dass ios oder wp keine sicherheitslücken haben aber derartig konzeptionelle schwächen sind mir zumindest dort nicht bekannt. Ob sie die madige aslr Implementierung und ähnliches inzwischen gepatcht haben könnte ich so auf anhieb nicht sagen aber das macht den braten auch nicht fett
 
@Niccolo Machiavelli: du warst derjenige der Windows eingeworfen hat, nicht er ;)
 
@0711: Gehts in dieser News nicht um Windows und er brachte Android ein? Meine Fresse.

Zudem hocken alle Android Apps in einer Sandbox, die sie mit der Erlaubnis des Nutzers verlassen kann. Eine App, die nicht android.permission.INTERNET im Manifest angegeben hat, kommt nicht ins Internet. Nicht mit WebView, nicht mit Browser. Und Linux ist ein Vorreiter bei ASLR, warum Google das bei Android wieder rausgenommen haben?
 
@Niccolo Machiavelli: er hat aber keinen vergleich angestellt im Gegensatz zu dir. Dass sein einwurf verfehlt war ist was anderes.

bsd ist wenn dann Vorreiter bei aslr (und die erste Linux implementation war eher madig, da war MS schneller mit ner vernünftigen aber nicht generell angewendeten variante - Android ist noch bei madig)
doch leider geht das mit dem Umweg über den browser

Warum Google was bei Android macht kann ich dir nicht sagen, es wurde ja auch erst mit irgend einer 4er Version eingeführt und das war/ist lange nachdem es bei Linux eine vernünftige Implementierung gab.

Allerdings missfällt mir dein aggressiver Grundton, hf beim mit der wand reden
 
@Niccolo Machiavelli: Für dein Windows 7 bekommst du noch bis 2020 Sicherheitsupdates und kannst dann im Gegensatz zu Android auch relativ problemlos auf Windows 8.x oder vermutlich sogar 10 Updaten, musst du vor 2020 aber nicht.
 
@PakebuschR: Wäre auch das mindeste bei einer Bezahlsoftware. Denn das richtige Update gibts ja nur gegen Geld. Android gibts dagegen kostenlos. Außer mangelnder Wille der Hardwarehersteller und nach ein paar Jahren die Hardware hindert dich dort niemand daran, ein Update anzubieten. Und wie gesagt: Die Kunden scheint es nicht zu interessieren. Ansonsten würden solche Hersteller sich wohl nicht lange halten.
 
@Niccolo Machiavelli: Und weil Android "kostenlos" ist braucht man die älteren Versionen nicht zu patchen? Zumal das vergleichbare WP ebenso "kostenlos" ist.
 
@b.marco: Oh man...hast du mal die Artikel gelesen die du da postest, auch auf Seiten, die sich mit der Thematik auskennen?

1. Die schädliche Software kann nur installiert werden, wenn es aus einer anderen Quelle, als dem PlayStore von Google, bezogen wird und die Installation von Anwendungen aus Unbekannten Quellen erlaubt worden ist.

-> Sprich, sehe hier keine Schuld bei Google. Wenn jemand soweit geht und die vorhandenen Sicherheiten gezielt deaktiviert, sollte er sich vorher informieren, was er da macht. Außerdem gibt es keinerlei Grund sich Anwendungen aus unbekannten Quellen zu installieren, es sei denn man entwickelt sich selbst eine App oder kriegt die von jemanden, der diese nicht per PlayStore veröffentlicht. Oder man holt sich gecrackte Apps, aber da kann jeder mit ein bisschen Verstand selber dahinter kommen, dass da evtl. Schäden entstehen können, denn umsonst gibts nichts.

2. Um es mal noch höflich zu formulieren, nenn mir ein Gerät, das mit Stock-Android läuft und von Google vertrieben wird, dass nicht min. auf Android 4.4 ist?

Desweiteren: "Das Ausnutzen der Lücke in Androids KeyStore-Prozess ist nicht trivial. Der Sicherheitsforscher von IBM, der mit seinem Team das Problem entdeckt hat, schreibt, dass ein Angreifer sowohl Data Execution Prevention (DEP), Speicherverwürfelung (ASLR) und weitere Sicherheitsvorkehrungen umgehen müsste, um einen erfolgreichen Angriff durchzuführen. Das ist allerdings durchaus im Bereich des Möglichen."

Das ist eben ein Problem der ganzen Gerätehersteller Samsung, HTC usw. Die müssen schauen, dass die mit den neuen Android-Versionen hinterher kommen, es ist ja nicht so, als ob Google neue Versionen für sich geheim hält. So viel mal zu deinem Kommentar, mehr als einen Versuch hier wieder Android schlecht zu machen, sehe ich in deinem Posting allerdings nicht.
 
@crimey: ich würde es nicht so formulieren, dass ich Google schlecht machen will, mich nervt nur diese Microsoft Schlechtmacherei, die von Google betrieben wird. Wenn die Mitarbeiter von Microsoft sie schon darum bitten, das Datum der Veröffentlichung zu verschieben, was denkst du welchen Grund soll es haben dieser Bitte nicht nachzukommen, ausser Microsoft natürlich zu schaden.
Und genau das ist ja eigentlich das Problem. Die meisten Androiden sind eben nicht mit Stock Android ausgerüstet, daher ja auch das grosse Problem damit. Die Schuld von Google zu weisen ist hier aber auch falsch, da es schliesslich ihr Lizenz Model mit den Herstellern vorsieht, dass diese einen eigenen Launcher nutzen dürfen. MS geht hier bei den Phones einen anderen Weg und wird daher von den Herstellern gemieden.

Hm... ich soll dir ein Gerät nennen?! Ich kenn mich nicht sooo gut mit Android aus, aber ich glaube das Nexus S hat kein Android 4.4 mehr bekommen, oder?!
 
@b.marco: Darüber ließe sich nun diskutieren.. Angenommen MS hätte einen Aufschub bekommen, was dann?
Dann kann man den Eindruck gewinnen, dass man das ja jedes Mal machen kann und gut ist oder wenn andere davon Wind bekommen, sich entsprechend zu Wort melden oder sich in der Vergangenheit negativ behandelt fühlen.

Die Thematik halte ich für ziemlich schwierig und so etwas ist teilweise mit den Altersbeschränkungen für diverse Sachen vergleichbar.
In Amerika darfst du offiziell ab 21 Alkohol trinken, in Deutschland ab 18 alles und ab 16 bestimmte.
Irgendwo muss man einfach eine Grenze setzen und sich auch daran halten und wenn nur irgendwann komplett ändern und nicht auf einzelne Ausnahmen reagieren, sonst ist das ganze System für nichts.

Hoffe der Vergleich ist einigermaßen passend und man versteh was ich meine.

PS: Wenn man bedenkt, dass Google für das Nexus S sogar Android 4.1.2 unterstützt, so ist das richtig gut für die alte Hardware und vom Herstellungsdatum betrachtet. War ja beim Nexus One nicht ganz so, wobei meines Wissens die richtig beworbenen und "wirklichen" Nexus Geräte erst ab dem 4 von Google als solche angesehen werden (habe keinen Link dazu, daher aktuell eher subjektive Einschätzung) - Galaxy Nexus war ja auch eher ein Rand- und kein Kernprodukt.
 
@Rumulus: Dont get scroogled ;)
 
@Rumulus: Klar. Der Öffentlichkeit nicht bekannte Lücken, die vielleicht schon lange ausgenutzt werden, sind ja so viel besser für den Endanwender. Da könnte er wenigstens selbst was unternehmen, wenn MS schon nicht den Hintern hochbekommt.
 
Ich finde es überhaupt von grossem nutzen ungepatchte Lücken zu veröffentlichen.
 
Die Lücke kann aber nicht über den Browser ausgenutzt werden.
 
Da kommt Schadenfreude auf. Geschieht Microsoft recht nach der Scroogled-Kampagne.
 
@BrakerB: Mal nachdenken bevor man so ein Mist von sich gibt, der Schaden liegt bei uns Kunden ........ Bei mir kommt Schadenfreunde auf, wenn es dich mal erwischt mit einer Schadsoftware, die auf Grund von Google Veröffentlichungen ausgenutzt wird.
 
@Rumulus: und was ist mit Schadsoftware, die ungepatchte Lücken ausnutzt, die nur noch existieren, weil niemand MS unter Druck setzt, ihren Kram zu patchen? 90 Tage sollten für einen Konzern mit dem Umsatz wahrhaftig nicht zu wenig sein. Aber sie brauchen ja alleine 16 Tage um die Lücke zu verifizieren, obwohl sie einen Beispiel-Exploit mitgeliefert bekamen.
 
@thinal: 16 Tage? Etwas mehr würde ich sagen ;)
"17. Oktober entdeckt - 12. Januar die Meldung auf, dass man das Problem in Redmond reproduzieren konnte"
 
@wertzuiop123: Das steht zwar in der Meldung, aber wenn man sich mal die Mühe macht:

https://code.google.com/p/google-security-research/issues/detail?id=128

da steht:

Correspondance Date: 29 Oct 2014

< Microsoft confirm they've reproduced the issue and think it might constitute a security feature bypass. Further confirmation will be provided soon.
 
@thinal: "90 Tage sollten für einen Konzern mit dem Umsatz wahrhaftig nicht zu wenig sein."
Die Dauer einen Patch zu erarbeiten hängt nicht vom Umsatz des Konzerns ab. Auch mit steigern Anzahl von Entwickler an einem solchen Projekt verkürzt man die Dauer nicht. Ab einer gewissen Zahl verlängert man es sogar.
 
@wori: Der Meinung bin ich auch. Schließlich können 200 Entwickler, die alle versuchen, das Problem zu finden, alle den gleichen Weg gehen und laufen so Tage lang herum, ohne dem Problem wirklich auf die Spur zu kommen.

Dann lieber ein Team mit 8 bis 10 Personen, wo alles Hand in Hand ablaufen kann und man einen Bug auch wirklich findet und beseitigen kann.

Dann kommt jedoch der Härtetest. Ist Software von diesem Bug betroffen? Also wird von Drittsoftware die Funktion in der die Lücke steckt, genutzt und wenn ja, wie beeinflusst es diese? Treiber, Software, Hardware... Kann alles damit korrelieren und zu massiven Problemen führen.

Aber mit solchen Testumgebungen braucht Google sich ja nicht auseinander zu setzen. Deren Android läuft auf Geräten, die max. 6 Monate alt sind. Alle älteren Geräte bekommen die neue Android-Version eh nie zu Gesicht! Tolle Update-Politik! Und da kann Google eindeutig was dafür! Hätten das System von den Programmen trennen können! Updates für Android von Google, der Rest vom Anbieter. Aber nö... Derzeit laufen über 90% der Android-Smartphones mit ungepatchten Android-Versionen! Ganz toll gemacht Google!!!
 
@wori: Vielleicht hat es auch hiermit etwas zu tun: http://www.itreseller.ch/Artikel/78400/Microsoft_loest_sein_Sicherheitsteam_auf.html
 
@thinal: Wer bist du, dass du MS vorschreiben kannst, wie lange ein Patch für ein System dauert, das du nicht einmal im Gerinsten kennst?

Unter Druck setzen mit einer Frist ist ja in Ordnung. ABER sobald der Hersteller der Software selbst aussagt "Hey danke für den Hinweis wir ARBEITEN daran, es könnte aber länger dauern", ist meiner Meinung nach jede Frist hinfällig.
Und MS hat hier selbst Termine festgelegt, an denen die Bugs gefixt WERDEN, wenn sich MS an diese Termine nicht halten WÜRDE, könnte man wieder anfangen Druck aufzubauen. Aber MS bewegt sich doch, sie versuchen es zu fixen....

Ich finde Google handelt hier einfach grob fahrlässig und nicht MS.
Wenn MS überhaupt nicht reagieren würde, würde ich diese Aussage umdrehen, aber so...

Ich kann nur hoffen, dass Googles Haltung bei dieser Sache nicht zu einer Auge um Auge Mentalität unter Software-Unternehmen führt. Denn eins sollte klar sein, in JEDER Software gibt es Lücken und der direkte leidtragende einer Veröffentlichung OHNE Patch ist immer der Kunde nicht das Unternehmen.
Und wenn die Unternehmen zukünftig Abteilungen betreiben, die nichts anderen machen als Lücken bei den anderen zu suchen um für schlechte PR zu sorgen, wird das nicht gut enden...
 
@Rumulus: Der Hauptgrund warum eine Lücke ausgenutzt werden kann ist aber nicht die Veröffentlichung von Google, sondern das träge Verhalten von MS..... bis zum nächstem Patchday, wären dann schon 120 Tage...
 
@OttONormalUser: die Bekanntheit einer lücke begünstigt deren ausnutzung
 
@0711: Eine einzige Ausnutzung einer bestehenden Lücke, ist meiner Meinung nach schon eine zuviel, und wenn man schon Fristen festlegt, darf man sich nicht wundern, wenn diese eingehalten werden.
 
@OttONormalUser: Setzt weiterhin voraus dass sie einem bekannt ist.

Bei fristen finde ich es nie schlecht wenn man auch mit der anderen Seite drüber redet, einseitige Fristsetzungen sind selten gut.
 
@OttONormalUser: Schon einmal Gedanken darüber gemacht, wie viele unterschiedliche Hard- und Softwarekonstellationen Microsoft Windows unterstützt? Würde Microsoft einen Patch ungeprüft oder schlecht geprüft ins Update schieben... Aber das hast Du ja die letzten Wochen mitbekommen.

Microsoft will wieder vernünftige Updates liefern. Dafür müssen diese getestet werden. Google hat nicht viel, worauf sie achten müssen. Microsoft schon! Und wenn MS einen Patch am entwickeln ist, Google darüber informiert wird, dass noch etwas Zeit fehlt, um die Tests abzuschließen, hat Google gefälligst die Fresse zu halten! Wenn eine Lücke nach 6 Monaten noch nicht geschlossen ist und keine Info vom Hersteller kommt, kann man mal mit etwas Nachdruck kommen und eine letzte Frist setzen. Aber einfach nur sagen: "Bis dann und dann!" ist einfach nicht im Sinne der Sicherheit.
 
@OttONormalUser: Eine einzige Ausnutzung ist eine zu viel. Aber besser als Milliarden Ausnutzungen. Und wer legt den die Fristen fest? In diesem Falle Google. Und zwar ziemlich willkürlich. Willkürlich heißt übrigens schlicht "ohne äußeren Einfluss", also aus eigenem freien Willen gewählt. Nicht, weil ein Zwang oder irgendeine mathematische Formel die Frist ergeben.

Wenn MS wie bei der letzten Lücke bittet, zwei Tage zu warten, weil dann der Patch da ist, gebietet es in meinen Augen selbst unter Konkurrenten die Kollegialität und die Professionalität, diese Nachfrist einzuräumen. Wenn wie jetzt klarsteht, die Lücke ist bekannt und wird zum nächten Patchday geflickt, gebietet es die Professionalität ebenfalls, selbst unter Konkurrenten die Nachfrist einzuräumen. Aber vielleicht fängt mal jemand an, den Spieß umzudrehen.

Fakt ist: Komplexe Systeme sind fehleranfällig.
Fakt ist: Keines der komplexen (Betriebs)systeme ist fehlerfrei, auch wenn mein Cousin immer darauf besteht, dass er bei seinem Mac ja keine Probleme mit Viren hat und sich um keine Updates kümmern muss.
Fakt ist: Ein so komplexes System zu flicken ist eine andere Hausnummer, als ein Buchhaltungsprogramm zu patchen. Es gibt Abhängigkeiten und abhängige Komponenten funktionieren vielleicht nicht mehr, wenn der offensichtliche Weg zur Beseitigung der Lücke gewählt wird. Unter Umständen müssen Bibliotheken neu geschrieben werden, vielleicht ein Bug im Compiler ausradiert werden, was weiß ich.

Microsoft blind Trägheit vorzuwerfen ist, als würde man dem Autofahrer, der auf der Autobahn nur 70 fährt, weil er vor 10km einen Platten hatte und sein Notlaufrad aufziehen musste, vorwerfen, dass er das nicht längst repariert hat. Auch hier gibt es Abhängigkeiten (runter von der Autobahn, Werkstatt finden... schnell fahren darf er aber nicht).

Und nicht vergessen: Google legte die Frist fest, nicht MS. Insofern ist Deine Aussage "wenn man schon Fristen festlegt..." etwas unsinnig.
 
@SunnyMarx: Volle Zustimmung. Aber das wollen Leute, die keinen eigenen Betriebssystem schreiben (und zwar ohne einen Unix/Linux Kernel, oder anderen bereits existierten (vorgefertigte) Kernel, sondern eine komplette Neuentwicklung) können oder wollen so etwas absichtlich nicht kapieren, dass man ein Betriebssystem Patch auch mit 1.000.000 Hard- und Softwarekombinationen durchtesten muss, was auch mal mehr als 90 Tage dauern kann.
 
@BrakerB: Scroogled war gegen Google selbst gerichtet. Das was Google hier tut ist Beihilfe zum verbrechen indem sie Demo Code veröffentlichen um den Angriff durchzuführen. Ich frag mich ja wie das rechtlich aussieht, Sicherheitsforscher sind ja schon eh und je in unsichere Gewässer gefahren....
 
@BrakerB: Und mir käme eine richtige Schadenfreude auf, wenn Microsoft gleich nach den Entdeckungen von Sicherheitslücken im Android und Google Chrome detaillierte Berichte mitsamt funktionierenden Exploits im Internet veröffentlichen würden, natürlich ohne Google davor zu warnen. Dann hätte Google absolut nichts mehr zu lachen. Die würden dann auch nicht mehr mit dem Fixen von Sicherheitslücken in Android und Google Chrome hinterherkommen. :-D
 
Google kriegt es bis jetzt nicht hin, für mein Nexus 7 2012 ein funktionierendes Android 5.0 bereit zu stellen. Aber Microsoft die Pistole auf die Brust setzen. Unverständlich.
 
@LoD14: Google halt, zeigen immer auf andere, bekommen aber selbst nichts wirklich sicher hin. Microsoft sollte wirklich mal alle Google Dienste und Google Chrome Update Server systemweit in Windows und Windows Phone sperren, sodass man selbst mit einem alternativen Browser nicht mehr auf deren Seiten kommt. Dann hätte Google absolut gar nichts mehr zu lachen. Die Android Apps von Microsoft sollten dann auch komplett aus dem Google Play Store zurückgezogen werden. Der Betatest von den Microsoft Office Apps für Android sollte sofort abgebrochen, und die Apps für Android komplett einstampfen.
 
@eragon1992: "Microsoft sollte wirklich mal alle Google Dienste und Google Chrome Update Server systemweit in Windows und Windows Phone sperren, sodass man selbst mit einem alternativen Browser nicht mehr auf deren Seiten kommt. Dann hätte Google absolut gar nichts mehr zu lachen."

Das ist ja wohl ein schlechter Witz. Auf welcher Grundlage sollen sie das denn tun? Damit schadet Microsoft nur sich selbst und seinem Ansehen, der WP-Plattform und natürlich all den WP-Nutzern, die trotzdem gern Google benutzen möchten. Was Windows betrifft, sucht man sich den Chrome-Installer woanders, wenn's sein muss und den Riesen-Shitstorm, den MS abbekäme, kannst du dir sicher vorstellen. Vielleicht noch eine Klage von Google oder der EU wegen Ausnutzung der Quasi-Monopolstellung, um einen Konkurrenten zu schaden und fertig ist der Salat.

"Die Android Apps von Microsoft sollten dann auch komplett aus dem Google Play Store zurückgezogen werden. Der Betatest von den Microsoft Office Apps für Android sollte sofort abgebrochen, und die Apps für Android komplett einstampfen."

Und dann wechseln alle zu WP, um die lebensnotwendigen Microsoft-Dienste zu nutzen, na sicher doch. Die Leute wechseln dann einfach zu anderen Diensten, möglicherweise sogar zu Google und Microsoft schneidet sich nur ins eigene Fleisch.
 
@eragon1992: Aber Gott sei dank ist Microsoft sie nicht so kindisch veranlagt wie du, sodass sie vernünftige Entscheidungen treffen.
 
@Niccolo Machiavelli: Worüber ich auch froh bin, dass Microsoft auch nicht so kindisch ist, wie Google mit deren Verhalten.
 
Na da bin ich Froh, dass Google keine Sicherheitsprobleme hat oder Schwachpunkte in Ihren Produkten :)
/ironieoff
 
@thoweb93: Ich (ganz unironisch) auch :-)
 
Microsoft sollte es freuen, dass Google sich um die Sicherheit von Windows Sorgen macht und fleißig Lücken reported.
 
@Peter Griffin: ISt OK wenn Google dann auch entsprechend Zeit dafür einräumt. Da muss man aber auch schonmal eine Fristverlängerung einräumen wenn schon gesagt wird das der Patch 2 Tage länger braucht oder es mal unerwartete Probleme gibt. Und auch wenn Firma ->hier Namen eintragen<- diese Frist nicht einhält kann man das regeln ohne einen Exploit zu Veröffentlichen.
 
Ich würde an MS' Stelle sogar rechtliche Schritte gegen Google prüfen. Die sollen vielleicht erst mal ihre Lücken und Probleme in Android flächendeckend beheben, bevor sie anderen auf diese Art und Weise ans Bein pinkeln. Aber offenbar muss man sich da bei Google profilieren, statt mit Sinn und Verstand zu handeln.
 
@HeadCrash: mir welcher Grundlage? Das Thema ist völlig losgelöst von lücken in Google Produkten...
 
@0711: Mit welcher Grundlage ich rechtliche Schritte prüfen würde? Einfach auf Grundlage dessen, dass Google mit der Veröffentlichung der Lücke bewusst den Ruf des Herstellers schädigt und Milliarden Anwender gefährdet.

Würden sie gleich einen Workaround mit bereitstellen, sähe das vollkommen anders aus. Ebenso wäre das der Fall, wenn MS die Informationen einfach ignorieren und nicht reagieren würde. Aber in dem Wissen, dass der Fix eigentlich schon fertig ist, trotzdem stur veröffentlichen, finde ich schon mehr als fragwürdig.
 
@HeadCrash: Den Ruf hat der Hersteller selbst geschädigt indem er fehlerhaften Code geshipt hat
Google hätte nicht mal eine Pflicht einer "Vorwarnung"

Insofern kann ich persönlich maximal moralisch deinem Argument folgen aber rechtlich? never
 
@0711: in DE ist es doch verboten Schwachstellen zu suchen.. das ist schonmal ne Angriffsfläche ;D
 
@0711: Google hat auch keine Pflicht Lücken zu suchen und zu veröffentlichen, sie tun es trotzdem und gefährden damit jeden Nutzer ganz bewusst.
 
@picasso22: dass sie danach suchen und es dem Hersteller melden schützt die user bzw verbessert deren schutz und gefährdet diese nicht.

Maximal die Veröffentlichung der Infos vor dem Patch schützt nicht, auf der anderen seite sorgt man so für druck dass der Hersteller auch wirklich tätig wird
 
@bLu3t0oth: auf deinem eigenen Systemen darfst du danach suchen und wenn sie Windows bei sich laufen haben ;)
 
@0711: Dann ist es trotzdem noch nicht deren eigenes System ;)
Du hast es nur lizensiert, was aber nicht heißt dass du darin rumpfuschen darfst und schon gar nicht darfst du Sachwachstellen suchen um sie anderen Personen zum ausnutzen zu liefern, aber genau das machen sie gerade.
Wenn MS in DE klagt, bekommt MS mit 75%iger Wahrscheinlichkeit Recht.
 
@bLu3t0oth: als eigenes System gilt ein selbst betriebenes, man darf keine Tools zur ausnutzung bereitstellen...aber Google stellt diese ja auch nicht in de bereit
 
@0711: Und verursacht durch den Zeitdruck schlimmstenfalls noch mehr Fehler.
 
@HeadCrash: lol ihr MS Fanboys seid echt witzig ^^
 
@klarso: Was hat das bitte mit Fanboy zu tun? Obwohl ich das bei Dir als bekanntem MS-Hasser wohl nicht zu fragen brauche. ;-) Ich kann meine Aussage mit Argumenten untermauern, bei Deinen Kommentaren hab ich das bisher nur selten gesehen.
 
@HeadCrash: Nope, nur in deiner Fantasie ...
 
@klarso: Das Google dabei in Kauf nimmt das anderen dadurch eventuell Schaden zugefügt wird kann niemand gutheißen egal ober Google oder MS Fanboy. (wobei ich den Ansatz auch gut finde) Rechtlich würde ich da auch prüfen ob ich Schritte gegen Google einleiten kann wenn ich an MS Stelle wäre und Google sich so uneinsichtig zeigt.
 
Dont be evil.
 
@hhgs: make love not war
 
@thoweb93: patch you f...ing cellphones.....
 
@starchildx: Tun sie doch, bis auf das Nexus 7 LTE Tablet sind afaik alle relevanten Smartphones bis zum Nexus 4 gepatcht.
 
@thinal: Solange ein Handy mit Android verkauft wird ist zählt es dazu. Es ist googles Pflicht den Herstellern in den Hintern zu tretten damit was passiert.
 
@starchildx: Dann kann MS ja auch weiter XP Supporten und mal die uralten IE-Lücken patchen.
 
@blume666: Ich rede nicht von irgendwelchen Uralt Handy/Tablets. Zum Beispiel das S4 Active. Ist bisschen mehr wie ein Jahr alt. Es gibt tausende Beispiele.
Es wird auch weiterhin das S3 Mini verkauft wo man schon beim Kauf weiss dass keine Updates kommen werden.
 
@starchildx: Die EU sollte Google und die ganzen Android Hersteller wegen Mutwilliger Erzeugung von Elektroschrott und den dadurch entstehenden Schäden in der Natur und Krankheiten in Dritte Welt Länder verklagen. Vielleicht bekommen Google und die restlichen Android Hersteller endlich ihren Hintern hoch, und veröffentlichen aktuelle Versionen für die älteren Android Modellen.
 
@eragon1992: Ist halt der Merkel Effekt. Solange es mich nicht direkt betrifft ist es mir egal. Ich finde es immer wieder witzig wenn sich einige Android User beschweren dass ihr Handy warm wird und der Akku so schnell leer geht aber nicht darüber nachdenken dass das Ding soviele Sicherheitslücken hat.
 
klingt nach busieness as usual. Das ganze wird jetzt wieder enorm hochgeschaukelt. Es wird wohl kaum eine Attacke von Google gegen MS sein, auch wenn man es immer wieder so darstellen will. Da nützt es auch nichts wenn man darüber diskutiert wer jetzt mehr Lücken in der Software hat.
Das es einen Standard gibt ab wann eine Lücke öffentlich gemacht wird finde ich gut, das setzt die Hersteller unter Druck. Und es kann mir keiner erzählen das eine Firma mit dem Kaliber von MS oder Google es nicht schaffen würden in 90 tagen solche Probleme nachhaltig zu lösen.
 
@hundefutter: Sorry, aber mit einem Wort: Bullshit!

Es gibt keinen "Standard" für das Beheben von Sicherheitslücken. Jedes Problem ist unterschiedlich komplex, muss erst einmal reproduziert, dann untersucht und dann unter Betrachtung aller Risiken und Seiteneffekte behoben und natürlich in allen möglichen Szenarien getestet werden. Und das beinhaltet noch nicht einmal, dass MS ebenfalls prüfen muss, welche Versionen der verschiedenen OS überhaupt betroffen sind und dann zusätzlich den Fix noch auf verschiedene Versionen anpassen muss.

Insofern hat das auch nichts mit dem "Kaliber" eines Unternehmens zu tun, denn auch eine Microsoft kann nicht plötzlich sämtliche Aktivitäten einstellen und alle Entwickler auf einen Fix ansetzen. Das normale Geschäft muss ja ebenfalls weitergehen.

Natürlich ist der Druck, der durch ein solches Vorgehen erzeugt wird, gut und zwingt den Softwarehersteller zum Handeln. Aber auf Bitte des Herstellers, die Frist zu verlängern, weil ein Fix noch nicht ganz fertig ist, einfach mit sturer Ignoranz zu reagieren, ist ein sehr deutliches Zeichen, dass es Google in keinster Weise um den Druck, sondern ganz bewusst um die Bloßstellung (und Gefährdung) eines Konkurrenten geht. Ich wette, die reiben sich jedes Mal die Hände, wenn so etwas vorkommt. In diesem Fall hatte der Druck ja schon längst gewirkt und das Veröffentlichen der Lücke bringt keinen weiteren Druck, sondern nur noch die Gefahr der Ausnutzung der Lücke mit sich.
 
@HeadCrash: "Es gibt keinen "Standard" für das Beheben von Sicherheitslücken.". Das ist sicherlich richtig, diesen Standard gibt es so noch nicht. Das sture beharren auf die 90 tage Frist ist allerdings nur richtig. Sonst kann man nämlich gänzlich auf die Fristen verzichten, wäre ja nur eine "Richtlinie".

Das je nach schwere des Bugs entschieden wird wie viel Zeit eingeräumt wird ist in diesem Fall wohl auch kein wirkliches Argument. Die Bugs die da gefunden werden sind oftmals nicht weltbewegend. Wie bei richtig heftigen Lücken vorgegangen wird können wir daraus nicht schliessen. Ich denke diese würden von MS dann auch prioritär behandelt werden. MS hat schon des öfteren gezeigt wie schnell sie Bugfixes veröffentlichen können. Da mache ich mir keine Sorgen darum.

Der Prozess dahinter ist sicherlich mühsam, aber noch mal, wir sprechen hier von MS und Google, wenn die das ernst nehmen wird das kein Problem sein für die.
Ich wäre froh wenn MS auch Ressourcen darauf verwenden würde Konkurrenzprodukte zu durchleuchten. Das ganze so hinzustellen das Google da jetzt ganz böse ist weil sie einige Bugs veröffentlichen finde ich schäbig.

"In diesem Fall hatte der Druck ja schon längst gewirkt und das Veröffentlichen der Lücke bringt keinen weiteren Druck, sondern nur noch die Gefahr der Ausnutzung der Lücke mit sich." Wer sagt dir denn das die Lücke nicht schon vorher ausgenutzt wurde? Wieso glaubst du gibt es eine 90 tage Frist?
 
@hundefutter: Ich halte von der starren Frist nichts und sie ist rein technisch/fachlich auch nicht haltbar. Jeder, der Ahnung von Softwareentwicklung hat, weiß und wird bestätigen, dass sich nicht jedes Problem in einer gesetzten Zeit finden und beheben lässt. Von daher sollte man solche Fristen wohl eher in Abhängigkeit von Schwere und Komplexität des Problems festlegen, als mit der Eine-Lösung-für-Alles-Methode zu kommen.

Ich stelle Google auch nicht grundsätzlich als böse hin, denn ich verurteile nicht, dass sie Bugs suchen oder veröffentlichen. Ich verurteile die Art und Weise, wie sie es machen. Das ist so, als würde man eine Rechnung nicht rechtzeitig zahlen, dem Gläubiger aber mitteilen, dass man sie zwei Tage nach der Frist zahlen kann und dieser schickt trotzdem den Gerichtsvollzieher und pfändet. Würde in der Realität niemals vorkommen - also schicken würden sie den Gerichtsvollzieher vielleicht schon, aber der würde nicht aktiv werden, wenn der Schuldner glaubhaft belegen kann, dass er die Schuld mit zwei Tagen Verzug begleicht.

Und niemand sagt mir, dass die Lücke nicht vorher schon ausgenutzt wurde. Aber es steht doch außer Frage, dass Exploits nach der Veröffentlichung einer Lücke mit deutlich höherer Wahrscheinlichkeit auftreten, als vor der Veröffentlichung. Denn dann müsste der Angreifer erst einmal selbst die Lücke finden, wohingegen das Ausnutzen meist keine große Hürde darstellt, wenn man die Lücke erst einmal kennt.

Und sieh es mal so: was ist der tatsächliche Nutzen der Veröffentlichung? Kann sich ein Anwender schützen, wenn er die Lücke kennt? Nein, denn er hat weder einen Patch, noch einen Workaround. Und die meisten Anwender dürften technisch nicht einmal ansatzweise versiert genug sein, um selbst auf einen Workaround zu kommen. Von daher stehe ich der Veröffentlichung von Bugs grundsätzlich skeptisch gegenüber, da diese in meinen Augen potentiell deutlich mehr Schaden als Nutzen anrichtet. Melden sollte man die Lücken beim Hersteller. Und jeder Hersteller, der etwas auf sich hält, wird sich um die Behebung kümmern, auch ohne künstlichen Druck.
 
@hundefutter: Nein, ich halte eine strikte 90 Tage Frist ohne Ausnahmen für das dümmste was man im Rahmen von Softwareentwicklung machen kann.

Zum einen sind verschiedene Softwaresysteme unterschiedlich komplex...
Zum anderen herrschen je nach Unternehmen unterschiedliche Prozesse...

Des weiteren geht es bei der Frist ja nur darum, dass sich die Unternehmen BEWEGEN, also überhaupt anfangen Lücken zu stopfen und sie nicht komplett zu ignorieren.
Und das ist in BEIDEN Fällen passiert. MS hat in beiden Fällen sogar direkt einen Termin für den Patch gesetzt.
Ein SINNVOLLER Standard für die Veröffentlichung von Lücken, als Druckausübung für Unternehmen, wäre es, diese Termine als neue Frist zu setzen und WENN diese NICHT eingehalten werden, dann kann man immer noch sagen "Hey ihr habt euer Wort gebrochen in einer Woche wird die Lücke veröffentlicht".

DAS wäre sinnvolles Augenmaß und nicht sinnlose Gefährdung von Millionen Nutzern...
Und diesen Prozess der Fristen und Fristverlängerungen, lässt sich super beschreiben und dann könnte man wirklich einen Standard festlegen, wenn sich ALLE Beteiligten darauf einigen. Bisher gibt Google diese Fristen ja einfach einseitig vor. Vermutlich würde sich Google selbst nicht daran halten, wenn MS jetzt eine Lücke findet und Google meint, es dauert länger...
 
Nett das Google danach sucht, die gründe seien dahingestellt.

Schlimm ist bei dieser art lücke nur das aufbauschen durch die medien, denn so dramatisch ist diese lücke hier z.B. nicht. Schon das sie nicht remote ausgenutzt werden kann dürfte die lücke bei MS (zu recht) mit niedriger prio bearbeitet werden.
 
@0711: Hallo? Das ist Winfuture. Hier wird der Feind jeden Tag aufs neue an die Wand gemalt. Es gibt hier sogar Anti-Artikel, die man auf keiner weiteren Seite finden kann... Warum auch immer. Mir fällt immer auf, dass hier gerne anderes schlecht geredet wird, als eigenes gut. Das trifft natuerlich nicht auf alles zu.
 
@blume666: Ist bei heise auch nicht wirklich anders. Da kommen oft Jubelartikel über Google und Apple, und Microsoft wird da meistens auch mal ohne Grund fertig gemacht.
 
@blume666: +

WinFuture = jedem seinen Stammtisch!
Aber es ist schon sehr befremdlich,
das den "Google Kritikern" eine Ungepatchte Lücke Lieber ist,
die von irgend einen Irren gefunden und ausgenutzt werden könnte,
als das eine Organisation mit Eigeninteresse an einen Funktionstüchtigen Windows (Einnahmen), dem Vergreisten (Alterssenilen) Microsoft Beine macht.
Noch verwunderlicher ist,
das die Realität (Abbau der Stellen durch Microsoft),
sowie die Realität der Meldung (Öffentlich einsehbar),
sowie der Umgang damit durch Microsoft,
vollständig ausgeblendet wird.

Ja selbst die IT braucht den Mob, vieleicht (was ich bezweifele) ist er zu was nütze.
 
"Google-Mitarbeiter hatten die Schwachstelle am 17. Oktober entdeckt und an Microsoft gemeldet. In der Historie taucht erst am 12. Januar die Meldung auf, dass man das Problem in Redmond reproduzieren konnte."

Finde ich ziemlich schwach von Microsoft. Warum konnte man die Lücke erst so spät reproduzieren? Google hat doch bestimmt gesagt wie, wann, wo die Lücke genau zustande kommt. Ich glaube nicht, dass Google da bei MS anruft und sagt: "Ihr habt irgendwo in Windows ne Lücke... jetzt sucht danach, wir geben euch 90 Tage zeit!.. Ätsch"
 
@Peter Griffin: Man ruft auch nicht an. Es wird alles schön dokumentiert https://code.google.com/p/google-security-research/issues/detail?id=128
 
@wertzuiop123: Eben. Soll Google jetzt auch noch die Windows-Lücken selber patchen? Scheint mir so als ob man in Redmond überfordert wäre.
 
@Peter Griffin: ms ist mit windows 10 überlastet, da kann man sich nicht um so eine krümelkake kümmern ;)
 
@Peter Griffin: Geht nicht, Windows ist nicht Open Source. ;)
 
@Peter Griffin: sie konnte bereits im Oktober reproduziert werden, der Fehler steckt hierbei in der News. Woher dieses Datum kommt, kp.
Am 12.01 passierte eigentlich nichts, am 14.01. kam die info dass sich der patch verzögern wird (fehler bei tests aufgefallen), am 29.10. wurde der Fehler bestätigt (was übrigens etwas anderes ist wie "ja euer exploit funktioniert")
 
@0711: Correspondance Date: 29 Oct 2014
Das Datum kommt daher, dass am "Jan 12" das Ganze erst von dem Bot oder was auch
immer gepostet wurde. Hat wohl jemand was falsch interpretiert.
 
Will da einer von lollipop ablenken? das heisst nicht nur so, sondern ist auch so.
Anfroid halt ;-)
 
ms hat genug geld und ressourcen das problem schnell in den griff zu bekommen. aber da ja erst ein patch day war kann man nun sicher einen monat auf einen fix warten
 
@walterfreiwald: auch Microsoft hat endliche resourcen weshalb lücken mit unterschiedliche gefahrenstufe unterschiedlich priorisiert werden
 
@0711: dann sollte man keine zunes, surfaces und windows phones auf den markt werfen und ausgelutschte spiele wie minecraft für was weiß ich wieviele millionen kaufen. dann bräuchte man auch nichts unterschiedlich priorisieren
 
@walterfreiwald: lol

MS hat Minecraft gekauft, nicht "auf den Markt geworfen"
 
@wertzuiop123: ? habe doch geschrieben das es gekauft wurde? zunes, wp und surface wurde auf den markt geworfen :)
 
@walterfreiwald: Ok sorry - beim Satzbau kann man beides verstehen beim schnellen Lesen ;) (dass das Spiel millionen kauften... egal)
 
@walterfreiwald: Dir und einigen anderen sollte wirklich klar sein, dass Betriebssysteme viel komplexer sind, und mehr Programmcode als irgendwelche Pobelsoftware wie Google Chrome oder Firefox enthalten. Deswegen müssen auch viel mehr Systemtests und Kompatibilitättests mit Drittanbieterprogramme gemacht werden.
 
@walterfreiwald: Google hat aber nur Andoid und MS noch einen ganzen Rattenschwanz hinten dran.
Und mal nicht Surface mit Android-Pendants vergleichen.
Da gibts unter den Andoiden nicht mal annähernd was adäquates.
 
@walterfreiwald: was ein Unsinn duschreibst...
Am besten hören sie komplett auf irgendwas zu verkaufen, dann müssen sie sich auch um nichts mehr kümmern, DANN bräuchte man nichts mehr priorisieren.

Selten so einen Blödsinn gelesen
 
@0711: nö nicht alles, nur die sachen die anscheinend keiner will :D
 
@walterfreiwald: wp ist die Fortführung eines Systems das vor nicht allzu langer zeit 30-50% Marktanteil hatte
Surface soll seit dem 2er und vor allem 3er gar nicht schlecht laufen aber hier werden so oder so keine resourcen der os sparte "verbraten"
Minecraft haben sie die Manpower mitgekauft
zune findet meines wissens keine Entwicklung mehr statt

In summe bleibts Blödsinn was du schreibst, denn die Priorisierung gibt es bei jedem softwareprojekt und auch bei MS schon seit Ewigkeiten lange vor den von dir genannten produktlinien.
 
So langsam nervt Google mit dem kindischen Verhalten. Ich dachte Scroogled ist schon nicht mehr zu überbieten, aber nun auf dem Rücken der Kunden ein Theater aufzuführen ist echt mies.
 
@Krucki: Unverantwortlich wäre es eine Lücke zu finden und den Hersteller nicht zu informieren.
 
@Peter Griffin: Es geht nicht um das Informieren des Herstellers, sondern um das öffentlich machen. ;)
 
@Krucki: Wie schon oft bewiesen gilt "security by obscurity" als fahrlässig, denn man sollte nicht davon ausgehen, nur weil eine Lücke nicht öffentlich bekannt gemacht wurde, dass die "bösen Jungs" nicht von der selbigen wissen, sondern sie vielleicht bereits ausnutzen. Die 90 Tage Frist sollte für ein Unternehmen wie Microsoft mehr als genug Zeit sein, um einen Patch herauszubringen.
 
@Peter Griffin: Und trotzdem hat MS schon versichert sich um die Behebung zu kümmern und auch schon einen Termin für einen Patch festgelegt. Mit welcher Begründung werden unter diesen Umständen noch Details veröffentlicht?

Wenn sich MS gar nicht bewegt hätte, sähe das anders aus....
 
@Draco2007: Die 90 Tage Frist ist abgelaufen. Was gibt es da nicht zu verstehen? Wären es 120 Tage käme Microsoft wieder mit der Ausrede man braucht noch paar Tage. Warum sollte Microsoft bevorzugt behandelt werden gegenüber den anderen Unternehmen? Gerade bei einem weit verbreiteten Betriebssystem wie Windows sollte es keine Toleranz geben, denn es ist im Interesse der Allgemeinheit, dass eine Windows-Lücke so schnell wie möglich behoben wird.
 
@Peter Griffin: Wer redet davon MS bevorzugt zu behandeln? Ich rede von der Allgemeinheit. Also auch für Google, wenn MS mal was findet....

Und ich rede auch nicht von einer fixen 120 Tage Frist, sondern nur davon, dass die erste Frist NUR dafür gelten sollte, dass der Hersteller Zeit hat das Problem als solches zu identifieren und eine Schätzung abgeben kann, wie lange es dauert, möglichst mit Termin, WANN ein Patch veröffentlicht werden wird.

WENN dieser Termin NICHT eingehalten wird, dann kann man wieder über eine Veröffentlichung nachdenken.

So ist es einfach nur beschissen, weil hier ein Unternehmen einem anderen eine Frist setzt ohne auch nur die geringste Ahnung vom Problem zu haben.
90 Tage klingen nach viel, können aber je nach Problem nicht aussreichen. Und sofern MS glaubwürdig versichern kann, dass sie daran arbeiten, hat für mich die Druckausübung mit der Frist schon genau das gebracht, was sie bringen soll....

Und "so schnell wie möglich" ist auch so eine Sache. Du glaubst doch nicht MS hat nur ein Problem zu fixen? (so wie jedes andere Software Unternehmen auch) Also müssen Probleme priorisiert werden...
Aber nochmal: sobald ein Plan erstellt wurde, WANN das Problem gelöst sein wird, sollte man eine Veröffentlichung zurück halten...
 
@Draco2007: "So ist es einfach nur beschissen, weil hier ein Unternehmen einem anderen eine Frist setzt ohne auch nur die geringste Ahnung vom Problem zu haben."

Das Stimmt nicht. Siehe [11] [re:1]. Die gefundenen Lücken werden von Google genaustens dokumentiert und dem betroffenen Unternehmen bereitgestellt. Es ist nicht so das Microsoft keine Anhaltspunkte hätte und erstmal im Dunkeln tappt.
 
@Peter Griffin: Ok, lass es mich umformulieren:

"...ohne auch nur die geringste Ahnung von der LÖSUNG des Problems zu haben"

Besser? Denn ich gehe nicht davon aus, dass Google Einsicht auf den Windows Code hat....
Mehr als "Ideen" könnte Google hier nicht liefern, die seitens MS auch erstmal verifiziert werden müssen.
 
@Draco2007: Ok, wer entscheidet wie lange es verantwortbar ist eine bekannte offene Lücke zu haben? Dieses Projekt von Google hat nun mal den Anspruch den Unternehmen Beine zu machen damit sie eben schnell reagieren. Man könnte die feste Frist ja komplett weglassen, aber dann hat man vielleicht erst in nem Halben Jahr ein Patch.
 
@Peter Griffin: Da wird es dann zugegeben tricky.
Dennoch halte ich die beiden Beispiele für nicht richtig. In einem Fall reden wir von 2 Tagen...also darauf sollte es nun wirklich nicht ankommen.

Sinnvoll wäre wahrscheinlich jeden Fall einzeln zu betrachten und auch auf eine Begründung des Entwicklers zu bestehen, wenn die Frist überschritten wird.

Ich finde es einfach nicht richtig eine willkürliche Frist einseitig festzulegen und darauf zu beharren, selbst wenn sich das Unternehmen ja bewegt.

Und was spricht denn gegen einen Patch innerhalb von einem halben Jahr, wenn das Problem ein grundlegendes Konzept über den Haufen wirft?
Einfach etwas mehr Augenmaß und weniger "friss oder stirb"...
 
@Draco2007: Wie ich schon oben erwähnt habe "ist security by obscurity" keine Lösung, weil immer die Gefahr besteht, dass eine Lücke bereits in Hackerkreisen bekannt ist. Wenn dann die Allgemeinheit noch nichtmal von der Existenz der Lücke bescheid weiss, handelt das Unternehmen unverantwortlich gegenüber seinen Kunden. Falls die Lücke nicht so schlimm ist bzw nicht vom Internet aus Angreifbar ist, dann sehe ich aber erst recht kein Grund sauer auf Google zu sein. Gerade wenns dann nur 1 oder 2 Tage mehr dauert.
 
@Peter Griffin: Das Problem dabei ist, wenn die Lücke veröffentlich ist, besteht nicht mehr die Möglichkeit, dass jemand die Lücke gefunden haben könnte, sondern es wird zu einer GARANTIE.

Und natürlich ist es nicht sinnvoll Lücken ungepatcht zu lassen. Aber WER trifft die Entscheidung wie lang es dauern darf? Wer entscheidet, das 90 Tage in jedem Fall und bei jeder Priorisierung ausreichend sind?

Google? Wohl kaum...
 
@Draco2007: Ich hätte da ne Idee^^
Google könnte sowas wie eine Schwarze Liste führen wo jedes Unternehmen sich dort eintragen lassen kann, das keine "Hilfe" von Google will. Wenn Google dann eine Lücke findet, bleibt es so lange unter Verschluss bis das betroffene Unternehmen die Lücke selbst gefunden und gepatcht hat und erst dann veröffentlich Google das Datum wann sie es gefunden haben. Ok das klingt zwar arschig, aber wenn man schon so stinkig auf Google ist, weil Google nur dabei hilft Lücken zu finden, fände ich es gerecht und auch spannend zu wissen wie lange ein Unternehmen so braucht, ohne Hilfe und aufforderung eine Lücke zu schließen. ;)
 
@Peter Griffin: Also ich für meinen Teil finde es nicht schlecht, dass Google Lücken sucht und dabei helfen will sie zu fixen nur sind die Bedinungen unter denen Google das macht einfach nur einseitig definiert ohne jede Möglichkeit der Rücksichtnahme.

Und nur das prangere ich an, nicht das Google helfen will.
 
@Draco2007: Gut, da hat jeder nunmal seine eigene Meinung. Nur damit es klar ist, ich würde auch Google kritisieren wenn Microsoft eine Lücke in Android findet und meldet und Google es nicht schaffen würde diese in 3 Monaten zu schließen. Gerade bei Unternehmen der Größenordnung von Microsoft und Google kann ich es einfach nicht verstehen warum man so lange für ein Patch braucht.
 
@Peter Griffin: Größe (Resourcen) allein lösen keine Probleme :p
 
@Draco2007: Man braucht auch Organisation und routinierte Arbeitsabläufe. Daran scheint wohl fast jedes große Unternehmen zu scheitern. Gerade weil man als solches Unternehmen unmengen an Geld den Managern in den Rachen wirft, sind selbige nicht fähig diese Probleme anzugehen, sondern eher damit beschäftigt die Aktionäre glücklich zu machen indem man immer weiter neue Produkte in den Markt wirft und die "Instandhaltung" bzw der Support der bestehenden älteren Produkte nur zweitrangig ist. Nach dem Motto: "Hast du ein Problem, dann musst du das neueste Produkt kaufen, weil aktuell und so".
 
@Peter Griffin: Das hat auch viel eher was mit der Komplexität der Software zu tun. Windows ist z. B. viel komplexer als Google Chrome und Android. Office ist viel komplexer als z. B. Firefox. Daher kann man Betriebssysteme nicht mit normaler Anwendungssoftware (welche auf dem Betriebssystem laufen) vergleichen.
 
@Krucki: Das ist ja der Witz überhaupt. Es wurde ja erst kürzlich verlautbart, dass die Scroogled-Kampagne eingestellt wird und nun fängt Google an bei jeder Gelegenheit MS an Bein zu pissen, gar so als wolle man sie zum weiterführen der Kampagne bewegen.
 
@crmsnrzl: Diese Art der Werbung bzw. "Auseinandersetzung" ist in den USA aber üblich.
Siehe auch Apple vs MS oder Samsung vs Apple.

Leider ist bisher keiner an die Spots Coca Cola vs Pepsi rangekommen. Denn die waren nicht nur wirklich witzig sondern auch intelligent.
 
@LastFrontier: Das ist mir bewusst. Dennoch wirkt es so als will Google das MS mit der Scroogled-Kampagne weiter macht.

Fast wie Geschwister. Der eine ärgert den anderen immer, und wenn er mal aufhört proviziert letzterer solange bis ersterer wieder anfängt.

Edit: Was ich gut fand, war die bookbook-Werbung im Apple-Stil von Ikea.
 
@crmsnrzl: Wie war das mit "Was sich neckt das liebt sich"?
 
Google sollte sich lieber um seinen Androiden App-Rotz kümmern. Das ist reinste Mal- und Spyware. Google sitzt im Glashaus und wirft mit Steinen. Es klirrt nur aus einem Grund nicht: Alle Scheiben sind schon zu Bruch gegangen.
 
@Chris Sedlmair: Komisch, dass ich es noch nicht geschafft habe Malware von Google Play herunterzuladen.
Aber wenn du Malware findest, solltest du dir ein Beispiel an Google nehmen und es melden. ;)
 
@Peter Griffin: Gibt ja auch keine Lücken in Milliarden Android Geräten weil du sie noch nicht gefunden hast. Genau. Verteidige Google nur weiter. Bekommst du dafür eigentlich Geld?
 
@picasso22: Mach dir mal keine Sorgen, ich kritisiere auch Google wenn sie es verdienen, unter den entsprechenden Artikeln. Im Gegensatz zu den meisten hier bin ich kein Fanboy und kann Dinge differenzieren.
 
@Peter Griffin: das spielt für MS Fanboys keine Rolle :)
 
@Chris Sedlmair: ich kenne keine Sicherheitslücke in Google Produkten, die länger als 90 Tagen offen bleibt. Was macht Microsoft da eigentlich? Warum muss Google überhaupt die Bugs finden, macht MS keine Qualitätskontrolle und warum werden die Bugs bei Microsoft auch nach Monaten noch nicht gepacht?
 
@klarso: Die 11 Lücken in den letzten News und die Google nicht zu patchen gedenkt sind also frei erfunden? Ja ich weiß, mit neuem System bzw. Smartphone löst sich das Problem von selbst.
 
@PakebuschR: Diese Lücken sind doch mit einem Update auf eine neuere Android-Version gepatched.
 
@klarso: Diese oder ähnliche Aussagen erhoffte ich mit meinem letzten Satz vermeiden zu können. :-(

Um der nächsten vorwegzugreifen: ja für paar Nexus Geräte gibt es Updates. (Ende 2013 gerade mal 1,5% Marktanteil)
 
Google ist nur noch kindisch. Dann soll MS mal anfangen in Android/Chrome zu suchen und die ganzen Bugs anfangen zu veröffentlichen. Da hat MS erst mal auf Jahre Arbeit.
 
@dicks: Google interessieren die Bugs doch anscheinend eh nicht :)
 
Ich bin definitiv kein Google-Freund, jedoch finde ich es gut, dass sie so handeln. Nicht etwa, weil MS auch schon mit z.B. der Scroogled-Kampagne Google angegriffen hat, sondern einfach, weil sie MS damit unter Druck setzen, was ihnen eigentlich nicht gelingen sollte, bei einem Unternehmen dieser Größe. Dass MS jetzt schon zum zweiten Mal nicht in der Lage ist, eine gemeldete Lücke nicht innerhalb dieses großzügigen Zeitfensters zu schließen, zeigt doch nur, dass in dem Windows-Kern-Team zur Zeit nicht genügend Kapazitäten frei sind. Es wird zu viel an dem nächsten Rohrkrepierer Windows 10 gefrickelt.
 
@doubledown: Ob das Zeitfenster großzügig ist hängt von der Komplexität der Fehlers ab und ist es in diesem Fall wohl nicht gewesen aber schlau reden kann man als Ahnungsloser ja immer. MS könnte es sich doch auch so einfach wie Google machen -> bei Bugs auf das baldige Update auf 10 verweisen und das Thema ist erledigt.
 
Dann soll es MS doch genauso machen bei Google Produkten. Und andere Firmen auch.
Aber dann würden wohl die Geheimgerichte wieder neue Regeln aufstellen... Würde mich auch nicht wundern wenn MS bei denen schon um Hilfe gewinselt hat.
 
@Freudian: Es steht jedem frei, Fehler in den Codes zu melden. z.B. Android https://code.google.com/p/android/issues/list
 
@wertzuiop123:
Das sollte klar sein. Damit kann man sogar Geld verdienen. Tun viele sogar.
Nur hier geht nicht darum sondern darum es zu veröffentlichen, wenn es nicht gefixt wird.
 
@wertzuiop123: code Reviews bringen heute kaum noch erkentnisse über lücken in Software
 
@Freudian: Das Problem, dass ich damit habe, ist nur, dass das schlussendlich zu einer Auge um Auge Mentalität führen könnte und der Kunde der Leidtragende wäre....

Ein gesundes Maß an gegenseitiger Rücksicht wäre durchaus angebracht...
 
@Draco2007: nein...es zeigt tiefgreifende strukturelle fehler in der entwicklung auf...
das ms nicht reagiert...zeigt ehr das sie kein wirkliches intresse am endverbraucher haben.
 
@anon_anonymous: Sie HABEN doch reagiert...nur eben nicht so, dass sie einen Patch innerhalb der EINSEITIG von Google festgelegten Frist...
 
@Draco2007: 3 Monate ist jetzt nicht wenig Zeit, wenn man bedenkt, dass die Lücke bei Hackern oder Geheimdiensten bereits bekannt ist und ausgenutzt wird. Microsoft hat die Sicherheit seiner Kunden einfach nicht als kritisch genug angesehen und die Patchentwicklung nicht entsprechend priorisiert, das ist das Fatale!
 
@klarso: Du hast anscheinend überhaupt keine Ahnung von Betriebssystementwicklung, da ist es nicht so einfach schnell einen Fix rauszuhauen, ohne das irgendwelche andere Betriebssystemkomponenten und Libarys in Mitleidenschaft gezogen. Was man beim vorzeitigen und überhasteten Raushauen von Sicherheitspatches in den letzten Patchdays gut sehen konnte. Betriebssysteme sind viel komplexer als irgendwelche Anwendungssoftware, die nicht zum Betriebssystem gehören.
 
@klarso: ja es ist richtig dass MS die sicherheitslücke nicht hoch priorisiert hat, wofür auch? Die lücke ist nicht sonderlich kritisch
 
Richtig so. Wer weiß wie viele Leichen Microsoft noch im Keller hat, die sie zu faul oder zu unfähig sind zeitnah zu fixen und die dann die USER weltweit ausbaden müssen wenn ihre PCs gehackt werden! Hier ist Druck notwendig sonst bewegt sich bei MS gar nichts!!
 
@Jas0nK: Die erste Zeile lässt sich nach den Berichten vor kurzem aber eher auf Googles Android anwenden. MS hat es vielleicht nicht ganz Zeitnah geschafft aber das kann verschiedene Ursachen haben und ist eben nicht immer möglich/so einfach.
 
den schaden hat zwar letztendlich der endkunde...zeigt aber das ms der endkunde egal ist...weil ja wohl in der entwicklung tiefgreifende fehler gemacht wurden...was bei sehr kurzen entwicklungszeit mich auch nicht sehr wundert. da es sehr wohl mit qualität der software ansich zu tun hat...die ja mitlerweile (und nicht nur wegen der lücken) unterirdisch ist.in schulnoten bekommt ms von mir ne 6.
einzig ihr quasimonopol und oem (endverbraucher zwangs lizenzen) beschützen sie vor dem bankrott...seit win vista.
 
@anon_anonymous: Win7 ist das letzte was noch brauchbar ist. Das ganze Kachelzeug wird als industrieller Reinfall des Jahrhunderts in die Geschichtsbücher eingehen.
 
@anon_anonymous: niedlich
 
Ich finde es eher eine Schweinerei, dass Google gefundene Sicherheitslücken erst noch 90 Tage vor den Nutzern geheimhält.

Da davon auszugehen ist, dass Hacker und Security-Firmen, die ungepatchte Sicherheitlücken suchen, gefundene geheimhalten und dann gleich mit Exploit an Behörden, Wirtschaftsstpione und andere Interessenten verkaufen, diese Sicherheitslücken auch schon gefunden haben, müsste Google die eigentlich veröffentlichen, sobald man sie entdeckt hat.

So wie es heute läuft haben Behörden, Wirtschaftstpione und Co. noch 90 Tage länger Zeit in fremde Rechner einzudringen und müssen sich erst danach um den Erwerb einer noch nicht öffentlich bekannten Sicherheitslücke samt Exploit kümmern, wenn sie ihre Aktivitäten fortsetzen möchten.

Das spielt aber im Prinzip auch keine Rolle, da selbst in dem schon jahrelang gepatchten Windows 7 wohl noch tausende solcher Sicherheitlücken und Backdoors schlummern und wohl kaum einer ein Betriebssystem ohne zusätzliche Software darauf verwendet, welche für noch mehr Sicherheitslücken im System sorgt. Ob mit Patches oder ohne: Windows ist NIEMALS sicher, wenn es Zugang zum Internet hat. Es wäre nur schön, wenn von Google gefundene Sicherheitslücken SOFORT bekanntgemacht würden. Dann bräuchte nicht jeder Admin noch endlos Arbeitszeit darauf zu verschwenden herauszufinden, wie jemand in die von ihm betreuten Systeme eingedrungen ist.
 
@resilience: Das verstehen die Schuljungs und Fanbois hier aber leider nicht.
 
@resilience: eine allgemeine Bekanntheit bedeutet auch eine größere potentielle "nutzerschaft" der lücken und nicht nur einzelner security firmen oder hacker die vielleicht auch darauf gestossen sind. Auch ist die lücke ja nicht remote ausnutzbar.

Nein behorden, wirtschaftssione etc haben nicht noch 90 tage länger zeit sondern im zweifel gar keine zeit das auszunutzen. Ohne Kenntnis, kein ausnutzen. Es ist sinnvoll dem Hersteller zeit für einen fix zu geben bevor man Sicherheitslücken öffentlich bekannt macht, es reduziert die zahl der potentiellen Nutzer dieser lücke und stellt sicher dass bei Veröffentlichung ernsthafte abhilfe bereitsteht.

Google wartet übrigens max 90 tage, kommt ein patch vorher, gibt's die info vorher.

Kein OS ist 100% sicher, Windows ist da aber sicher nicht der "worst case" in Sachen sicherheti. Auch wenn die lücke bekannt ist müsste der herr admin "endlos" Arbeitszeit investieren, denn ein admin mit etwas grips weiß immer dass nie alle lücken geschlossen sind egal ob was öffentlich bekannt ist oder nicht - bei öffentlicher Bekanntheit erhöht sich aber die Gefahr dass just diese lücke ausgenutzt wird.
 
@resilience: Ich bin nicht deiner Meinung, obwohl sie durchaus verlockend ist, das man Sicherheitslücken sofort öffentlich machen sollte.
Zu einen aus Grund der Fairness, die befristete Gelegenheit zu geben den Fehler zu korrigieren.
Zum anderen, der für mich wichtigste Grund, weil man die Wechselwirkungen (für alle Kombinationsmöglichkeiten) nie hinreichend abschätzen kann.
Aber ich gebe dir Recht, Microsoft ist sehr Fahrlässig im Umgang mit der Sicherheit ihrer User und Systeme war/ist/sein wird.
 
Hängt mit NSA zusammen
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles