News Google legt Lücke in Windows 8.1 offen, Microsoft verärgert

357 · 14. Januar 2015

Google wird immer unsympathischer *kopfschüttel*
Die Aktion von Google ist unakzeptabel, wie man sich so etwas erlauben kann ist mir unverständlich.
Sie erzeugen absichtlich ein Sicherheitsrisiko, und das wozu, wegen zwei Tage *lächerlich*
Wo bleibt der Hausverstand uns die nötige sensible Vorgehensweise bei einer Sicherheitsfrage, hier lässt man dies stark vermissen.
Hier drängt sich ein starker verdacht auf, Google versucht MS hinterhältig zu schädigen um deren eigene Software indirekt zu stärken.
Google lernst erst wenn MS Google-Sicherheitslücken veröffentlicht, anders werden sie wohl nicht umdenken.
Es sollte aber generell verboten werden Sicherheitslücken veröffentlichen zu dürfen, dies schädigt letztendlich nur den Nutzer, und stärkt nur denjenigen der mit der Information hantiert.
Google ist und bleibt Müll.

WhiteShark · 14. Januar 2015

wolf357 schrieb:
Google wird immer unsympathischer *kopfschüttel*
Die Aktion von Google ist unakzeptabel, wie man sich so etwas erlauben kann ist mir unverständlich.
Sie erzeugen absichtlich ein Sicherheitsrisiko, und das wozu, wegen zwei Tage *lächerlich*

Die Frage ist eher, wie man es sich erlauben kann eine gemeldete Lücke über 90 Tage offen zu lassen. Es geht nicht um 2 Tage, sondern um 92 Tage.
Das Sicherheitsrisiko hat Microsoft verursacht und nicht Google. Microsoft kann doch froh sein, das ihnen 90 Tage Zeit gelassen wird und nicht die Lücke gleich schon veröffentlicht wird.

Autokiller677 · 14. Januar 2015

Du kannst noch so oft runterbeten, dass 90 Tage ja lang seien - solange du nicht bei MS arbeitest, kannst du einfach nicht beurteilen, ob die einfach lahm waren oder ob es eben doch etwas aufwändiger war und deshalb länger dauerte.

WhiteShark · 14. Januar 2015

So aufwendig kann es nicht sein, das man dafür 90 Tage brauchen kann. Nochmal, das sind 480 Arbeitsstunden (für eine Person). Jeder Programmierer wird das genauso beurteilen.

PiPaPa · 14. Januar 2015

Eben, und wenn Microsoft es nicht in 90 Tagen schafft muss man eben die Ressourcen erhöhen oder den Arbeitsfluss optimieren usw.

tarrabas · 14. Januar 2015

Autokiller677 schrieb:
Du kannst noch so oft runterbeten, dass 90 Tage ja lang seien - solange du nicht bei MS arbeitest, kannst du einfach nicht beurteilen, ob die einfach lahm waren oder ob es eben doch etwas aufwändiger war und deshalb länger dauerte.

tja, 92 tage sicherheitslücke, welche bekannt, oder unbekannt ist, bedeutet so lange ein sicherheitsrisiko. entweder schnallst du das nun langsam, oder dir ist echt nicht mehr zu helfen.

aber laut dir kann ja nur ein mitarbeiter von MS etwas beurteilen, was MS anbelangt. nach der logik kann man sich vielleicht in fantasien die welt zusammenbasteln. mit realität hat das aber herzlich wenig zu tun. es ist kurz gesagt sch... egal, wie lange für MS angemessen wäre. es ist ein sicherheitsloch, welches ausgenutzt werden kann. so lange es offen ist, so lange kann schaden entstehen. eigentlich einfach, ausser man hat ein grosses, dickes brett vorm kopf.

@wolf357

dies schädigt letztendlich nur den Nutzer

du darfst gerne erklären, wie das den nutzer schadet. aus meiner sicht, schadet die lücke von MS solange sie offen ist. es ist schlicht egal, wie lange die lücke bekannt ist. weil solange sie besteht, ist das risiko für den nutzer da.

greez

Bogeyman · 15. Januar 2015

Dr. MaRV schrieb:
Und man hat Google auch gleich gesagt, dass man, um dieses Problem zu beheben mehr als 90 Tage Zeit benötigt, weil es eben ein tiefsitzendes und kein oberflächliches Problem .

Aber wer beurteilt das ? Glaubte das deinem Arbeitgeber auch wenn er dir sagt kann dir erst in 90tagen Lohn zahlen wäre soviel Arbeit und so.
Das Microsoft gleich am Anfang gesagt hat es dauert länger heißt doch nix. Kenne das auch von vielen Firmen wo ich gearbeitet habe erstmal maximale Zeit rausschinden sodass man möglichst wenig Ressourcen für die eine Sache drauf ansetzen muss. Bei zwei Kunden die den selben Preis zahlen nimmt man halt auch den der länger bereit ist zu warten. Daher Stufe ich das eher als Taktik ein mehr Zeit rausschlagen zu wollen. Gäb es nen Bug der den AppStore von Microsoft lahmlegen würde so würde das unabhängig wie "tief" der Bug im system sitzt sicherlich auch keine 92tage dauern.

mauorrizze · 15. Januar 2015

wolf357 schrieb:
Es sollte aber generell verboten werden Sicherheitslücken veröffentlichen zu dürfen, dies schädigt letztendlich nur den Nutzer, und stärkt nur denjenigen der mit der Information hantiert.

Au ja, dann haben wir bald viel mehr Firmen mit der Sicherheitsauffassung von Sony. Nur geht es dabei dann nicht um deren PCs, sondern um deinen und meinen. Jippi.

Weil: Aus Firmensicht machen Sicherheitslücken viel Arbeit. Manche stecken dennoch freiwillig Geld in das Suchen und Beheben, manche wiederum, z.B. Sony

, wägen ab dass das zu teuer ist und leben lieber mit den Folgen. Microsoft hatte sich bis letztes Jahr ganz gut entwickelt, aber nimm den externen Druck und ersetze ein paar Manager und schon kann sich das wieder zurückentwickeln. Und ein Verbot wird ja kaum Auswirkungen auf den Schwarzmarkt haben, im Gegenteil, für Cracker wird es viel lukrativer, weil es viel mehr geheime Lücken gibt, die man teuer (weil exklusiv) verkaufen kann, sprich der Markt wird deutlich größer. Selbst NSA und BND wollen ja weiter dazu beitragen und Exploits kaufen.

chithanh · 15. Januar 2015

Dr. MaRV schrieb:
Und man hat Google auch gleich gesagt, dass man, um dieses Problem zu beheben mehr als 90 Tage Zeit benötigt, weil es eben ein tiefsitzendes und kein oberflächliches Problem ist.

Autokiller677 schrieb:
Du kannst noch so oft runterbeten, dass 90 Tage ja lang seien - solange du nicht bei MS arbeitest, kannst du einfach nicht beurteilen, ob die einfach lahm waren oder ob es eben doch etwas aufwändiger war und deshalb länger dauerte.

Wenn Microsoft Produkte verkauft, die so komplex sind, dass sie selbst nicht innerhalb einer angemessenen Frist auf gemeldete Sicherheitslücken reagieren können, dann sollen sie sie halt nicht mit dem Versprechen von Sicherheit verkaufen.

Dr. MaRV schrieb:
Im übrigen Macht Google auch nichts gegen bestehende Sicherheitslücken, es gibt schätzungsweise fast eine Milliarde Android Geräte mit Sicherheitslücke, für die Google einfach keinen Patch anbietet. Daher finde ich es schon fragwürdig, warum man hier auf andere Zeigt, obwohl man selbst nichts besser macht und nichts gegen Sicherheitslücken im eigenen System unternimmt.

Dass Google nur für aktuelle Versionen von Android Sicherheitsupdates bringt kann man kritisieren, aber immerhin sind die öffentlich bekannt und ein Anwender kann einschätzen, wie sehr er davon betroffen ist. Und er kann entsprechende Maßnahmen ergreifen um sich zu schützen. Bei der Webview-Lücke etwa kann er Apps meiden, die Webview zum Anzeigen von potenziell bösartigen Webseiten benutzen. Umgekehrt können auch Entwickler solcher Apps dafür sorgen, dass nur Androidgeräte mit einer nicht verwundbaren Version die App über den Play Store bekommen (bzw. die Funktion auf verwundbaren Versionen abschalten).

Bei einer geheim gehaltenen Lücke wie dem Benutzerprofildienst-Bug in Windows waren die Anwender hingegen 90 Tage lang völlig schutz- und ahnungslos.

crashbandicot · 16. Januar 2015

Es ist übrigens die dritte Sicherheitslücke von Google veröffentlicht worden.

http://www.golem.de/news/windows-go...erheitsluecke-in-drei-wochen-1501-111748.html

GrambleX · 20. Januar 2015

Egal ob da jetzt MS oder Google drauf steht:
Windows ist unglaublich verbreitet - auch da wo es auf Sicherheit ankommt.

Was passiert, wenn bekannt wird, dass es eine Sicherheitslücke gibt die bereits ausgenutzt wird? Hacker haben also nicht 2 Tage Zeit sich damit zu beschäftigen wie sie die Sicherheitslücke möglichst geschickt und auch gewinnbringend ausnutzen, sondern tun sie dies bereits. Dauert die Behebung dann auch 92 Tage und wie hoch wäre dann der potentielle Schaden, der Unternehmern und Privatleuten entstehen könnte? Das ist das Szenario was vielen wohl vor Augen geistert. Und den Endnutzer interessiert doch im Endeffekt nur der mögliche Schaden - da ist es leider egal ob 92 Tage jetzt "schnell" oder "langsam" waren.

Da Microsoft anscheinend schon früh gesehen hat, dass sie die Frist nicht einhalten werden, drängt sich die Frage auf, ob Microsoft nicht vielleicht einfach eine schlechte Ressourcenplanung betrieben hat. Hier steht ja nicht nur die Sicherheit sondern vor allem das Image auf dem Spiel.

WhiteShark · 20. Januar 2015

In solch einem Fall würde Microsoft recht schnell reagieren, womöglich sogar innerhalb weniger Stunden.
Die Behebung einer Sicherheitslücke dauert sicher keine 90 Tage. Das Problem ist da eher die Priorisierung.
Es gibt ja nicht nur eine gemeldete Lücke, sondern mehrere. Bekannte Lücken werden höher priorisiert und dadurch früher bearbeitet. Unbekannte Lücken bleiben dann halt mal 3 Monate liegen.

c137 · 23. Januar 2015

Nur mal so nebenbei zur Info: "Google drops three OS X 0days on Apple. Disclosures provide enough detail for skilled hackers to write their own exploits." (http://arstechnica.com/security/2015/01/google-drops-three-os-x-0days-on-apple/)

Google ist da offensichtlich sehr umtriebig...

Suche

News Google legt Lücke in Windows 8.1 offen, Microsoft verärgert

357

Gast

WhiteShark

Admiral

Autokiller677

Admiral

WhiteShark

Admiral

PiPaPa

Banned

tarrabas

Banned

Bogeyman

Banned

mauorrizze

Ensign

chithanh

Captain

crashbandicot

Commander

GrambleX

Lt. Commander

WhiteShark

Admiral

c137

Gast

Ähnliche Themen

Passend zum Thema

Noch nicht ausgestorben Heute vor 10 Jahren erhielt Windows XP das letzte Update

Windows Update Neues Projekt bringt Windows 95 bis XP auf den neusten Stand

8GadgetPack 35.0 Gadgets von Windows Vista unter Windows 11 nutzen