Windows-Chef Myerson legt nach, weitere scharfe Kritik an Google

Googles Entscheidung, eine Sicherheitslücke in Windows offenzulegen, sorgt weiterhin für grobe Verstimmung zwischen den beiden Konzernen: Jetzt hat die Angelegenheit sogar die höchste Management-Ebene erreicht: Terry Myerson, Chef der ... mehr... Hacker, Tastatur, Maus Bildquelle: Davide Restivo / Flickr Malware, Security, Virus, Schädling Malware, Security, Virus, Schädling

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Da muss ich doch hinterfragen, "wenn bestimmte Windowssysteme Sicher sind (Letzter Absatz) wieso dann der Wind?"!
Ist es nicht besser eben den Schutz den Potenziellen Zielen zu vermitteln, anstatt es lieber im Geheimen auszubügeln, besonderes weil Kompromittierte nie etwas davon erfahren?
 
@Kribs: Wieso im Geheimen? Normalerweise wird so eine Lücke gemeldet, dann vertraulich damit umgegangen und ein Patch erstellt. Spätestens beim erscheinen des Patches ist das Problem dann im Patchlog ja eh öffentlich und der der gemeldet hat kann es dann auch veröffentlichen. Hat einfach was mit anstand zu tun...
 
@gordon2001: Bis zu erscheinen des Patch, währe nach Wunsch Myerson es eben geheim (nicht nach außen kommuniziert), damit währen auch alle Kompromittierten Systeme für den Zeitraum nicht zu schützen bzw. alle potenziell gefährdeten Systeme "offen" für Angriffe!
Die Frage ist ob durch das nicht Kommunizieren ein größerer Schaden entsteht weil die Angreifer mehr zeit haben sensible Daten zu sammeln bzw. in Tiefere Systeme einzudringen und diese mit Schadsoftware auf unbekannte Zeit zu Kompromittieren!
Insbesondere weil die Angreifer (laut Artikel) nur gezielte Angriffe gegen ergiebige Ziele fuhren!
 
@Kribs: Nun derzeit ist meines Wissens kein Workaround bekannt, betroffene Systeme werden in der fraglichen zeit wohl auch nicht offline genommen. Eine höherer Verbreitungsgrad ohne Workaround und Patch ist für mich in dem Bild der einzige wirkliche Faktor der an der Gefahr etwas steigert oder senkt.

Man ist sich eigentlich auch relativ einig im umgang mit sicherheitslücken dass ein "full disclosure" (gemäß dem fall ein patch kommt zeitnah) mehr schaden anrichtet als es nutzt, es ist üblicherweise ein mittel die betroffene Firma schnellst möglich zum handen zu zwingen
 
@0711: Ich differenziere bei einen "Full Disclosure" zwischen Aktiv ausgenutzt (Ja/aber) und einen Potentiell ausnutzbar (Nein/aber).
Natürlich muss man von Fall zu Fall abwägen, bei Flashplayer oder Java hat das z.B. nicht behindert ein Deinstallieren zu raten.
 
@Kribs: Das Veröffentlichen von Lücken bevor es einen Patch gibt dient allein der eigenen Profilierung und der Beschädigung des anderen. Da es noch keinen Patch gibt, haben betroffe Nutzer keinen Vorteil, da sie ja nicht patchen können. Und da veröffentlichte Lücken in der Regel nach spätestens 2-3 Tagen auch angegriffen werden, gefährdet man durch eine Veröffentlichung alle bisher nicht betroffenen Nutzer. Jeder der Lücken veröffentlicht ohne dem Hersteller die Möglichkeit zum patchen zu geben, ist genauso gemeingefährlich wie die Angreifer selbst.
 
@Kribs: Die Frage ist aber doch auch: Was hat der Otto-Normalo-Kribs davon, wenn das Ganze vor Patcherstellung breitgetreten würde, obwohl er doch anscheinend nicht die Bohne in das Opferschema der Typen fällt, die die Lücke nutzen?

Die zweite Frage ist: Was weiß der Otto-Normalo-Kribs darüber, inwieweit die entsprechenden potenziell betroffenen Regierungsstellen nicht eben doch durch Microsoft informiert/gewarnt worden sind?

Abgesehen davon ist diese Geschichte mal wieder der übliche schlechte Stil von Google; ich würde das ganz einfach als Teil des Wirtschaftskrieges ansehen, der auf der einen oder anderen Ebene ja schon länger zwischen den beiden läuft.
 
@DON666: Bei verknöcherten Feindbildern, ist jedwede Argumentation schon im Ansatz erstickt!
 
@Kribs: Bitte? Du meinst zwischen MS und Gooooogle?
 
@DON666: Nein ich meinte deine Formulierung, die ja für sich festlegt wie es ist, anstatt meine Fragestellung zu erweitern.
Wen Microsoft es "Speziell" kommuniziert hat, ist doch alles gut, nur haben sie es?
 
@Kribs: Das kann ich dir selbstverständlich - wie es auch bereits aus meinem ersten Post hervorgeht - nicht sagen. Aber für den einen (mich) ist i. d. R. halt das Glas eher halbvoll, für den anderen (dich) halbleer, deshalb natürlich die unterschiedliche Herangehens- bzw. Sichtweise.

Allerdings fühle ich mich von diesem Exploit jetzt (zumindest nach Lektüre der Aussagen dazu) nicht wirklich bedroht; das sollen mal die wirklich beteiligten Parteien unter sich ausmachen, ich erhebe nicht den Anspruch, dass unbedingt jeden alles etwas angeht, Transparenz hin oder her.
 
@DON666: **Verwirrung**

"Allerdings fühle ich mich von diesem Exploit jetzt (zumindest nach Lektüre der Aussagen dazu) nicht wirklich bedroht; das sollen mal die wirklich beteiligten Parteien unter sich ausmachen, ich erhebe nicht den Anspruch, dass unbedingt jeden alles etwas angeht, Transparenz hin oder her."

Daraus schließe ich, das der Artikel (die Artikel) zum Thema für dich nicht Diskussionswürdig sind bzw. du sie lieber gar nicht erst veröffentlicht haben willst, da sie deine Person nicht betrifft bzw. du dich nicht als gefährdet ansiehst?
(Frage, woher nimmst du die Sicherheit das das auch so bleibt?)
Zum einen überrascht mich jetzt, das du dich trotzdem an der Diskussion beteiligst, zum anderen das du Sicherheit, solange sie dich (nach eigenen bekunden) nicht betrifft, lieber Intransparent haben willst.
 
@Kribs: Das Ding wird am 08. gepatcht. Ich fürchte ganz, ganz ehrlich nicht, in den verbleibenden Tagen zum Opfer auserkoren zu werden, da mein PC - so wie sicherlich auch die PCs aller anderen hier anwesenden - keinerlei Regierungsgeheimnisse beinhaltet.

Deshalb.
 
@DON666: Nun das kann ich nicht Wissen bzw. verifizieren, ich glaube dir trotzdem das das so ist (ohne jede Anspielung), aber vieleicht kennst du eine interessante Person die ein Ziel sein könnte, damit ist dein Mailaccount doch ein wunderschöner Ausgangspunkt um diese Person anzugreifen (Hypothetisch).

Aber egal, ich glaub wir beide kommen hier nicht wirklich zusammen, dazu ist unserer Blickwinkel zu verschieden.

Ps.: keine der Wertungen sind von mir!
 
@DON666: du solltest das thema einmal mehr nicht aus ms oder hersteller sicht betrachten, sondern von der kunden und anwender seite angehen.
gleich ob du apple, google oder ms affin bist oder nicht.
 
@hangk: Na klar, als Kunde fühle ich mich gleich viel besser wenn entdeckte Sicherheitslücken öffentlich kommuniziert werden, statt stillschweigend, bevor sie gepatcht werden. :/
 
@Chris Sedlmair: du gehst von etwas falschem aus.
es geht darum bekanntermaßen bereits ausgenutzte lücken öffentlich zu machen und davor zu warnen. in der zeit in der ein patch entwickelt wird kannst du dann gegebenenfalls empfohlene gegenmaßnahmen ergreifen.
 
wenn die lücke bereits ausgenutzt wird, dies microsoft bekannt ist und das mit dem hintergrund russicher spionage im us wahlkampf; warum informiert und warnt ms nicht seine kunden? das ein patch nicht in aller eile fertig gestellt werden kann liegt jedem auf der hand.
aber so lässt man seine kunden uninformiert im regen stehen und lamentiert nur herum.
 
@hangk: Microsoft eben...
Aber vielleicht wurde die Lücke ja auch an die NSA "verkauft" und die hatten was dagegen, dass sie geschlossen wird - was weiß man...
Das Vorgehen ist jedenfalls merkwürdig.
 
@hangk: Myerson agiert wie jemand aus den 80ern. Ist halt ne Fehlbesetung auf dem Posten. Heutzutage erwartet man Information und Transparenz in Realtime. Die Lösung kann dann später erfolgen aber die Info muss raus. Irgendwie kapieren die Hersteller nicht das mancher mehrerer Geräte hat und nicht wirklich mit alle täglich an's Netz muss solange eine bekannte Sicherheitslücke noch nicht behoben ist.
 
Ganz unabhängig vom hier thematisierten Fall, kann ich nicht wirklich nachvollziehen, dass Flash heute immer noch derart verbreitet eingesetzt wird, obwohl es doch in den letzten Jahren immer wieder durch extreme Sicherheitslücken in den Schlagzeilen war. Auf meinen Systemen ist Flash schon seit vielen Jahren nicht mehr vorhanden und ich vermisse es seither in keiner Weise. Aber dass Adobe diesbezüglich nicht schon längst selbst die Reißleine gezogen hat, halte ich schlicht für unverantwortlich.
 
@KoA: Ich habe Flash auch schon eine Weile verbannt, aber ich gebe zu dass es manchmal umständlich war mit livestreamer einen twitch-Stream anzuschauen, das war der letzte Anwendungsfall wo ich ab und zu in Versuchung gekommen bin...
 
Google will von den eigenen fehlenden Scheunenwänden durch einen Verweis auf ein gekipptes Kellerfenster bei Microsoft ablenken. Billig und in der Art und Weise einfach nur schäbig.
 
@Chris Sedlmair: google hat hat ms auf den fehler hingewiesen und genügend zeit gegeben den fehler zu beheben...das ms stur am patchday festhält ist nicht die schuld von google...und wie ich ms mittlerweile kenne, wird das problem auch dann wenn überhaupt auch wieder nur tlw gelöst sein...
Kommentar abgeben Netiquette beachten!