ComputerBase Menü
Aktuelles

News Google legt Lücke in Windows 8.1 offen, Microsoft verärgert

Xanta schrieb:
Sehe es auch aus der Sicht von Microsoft.

90 Tage OK falls das Unternehmen nichts unternimmt, aber wegen 2 Tagen darüber?
Zum Vergrößern anklicken....

Wenn du die Tür einmal ein Stück weit auf machst bekommst du sie nicht mehr zu. Geben sie Microsoft 92Tage, so werden sich im Zweifel andere Unternehmen darauf berufen und aus den offiziellen 90 Tagen sind schon 92 geworden und der nächste braucht dann nochmal 5 Tage extra usw. Da muss man wirklich ne harte Grenze ziehen, sonst ist es keine.
Google würde auch ein Shitstorm gegen sich selbst riskieren wenn sie MS 92Tage geben, einem anderen in naher Zukunft dann aber nicht und dieser geht an die Öffentlichkeit und wirft google vor microsoft zu bevorzugen.
 
90 Tage sind 90 Tage. Wenn man Ausnahmen macht von der Regeln, dann kommt der nächste und möchte das auch. Irgenwann sind dann anstatt 90 Tage 180 Tage daraus geworden und dann regt man sich wieder auf, da so eine Lücke ein halbes Jahr lang nicht gefixt wurde. Somit sollte man überhaupt erst nicht anfangen über diese 90 Tage-Frist zu diskutieren. MS sollte doch froh sein, dass sie auf Fehler hingewiesen werden und diese auch für 90 Tage nicht öffentlich werden. Wenn man da nur mal an diesen Schwarzmarkt mit Exploits denkt, dann hätten andere mit solchen Lücken (hundert-)tausende an Dollars verdienen können.

@Trefoil80
Das ist nicht das Problem von Google. Die Hersteller der Phones sind für den Support des Gerätes verantwortlich. Und die Hersteller wollen Geld verdienen und lassen den Support meist schon nach 1 Jahr nach dem Erscheinen eines Gerätes fallen.
 
Zuletzt bearbeitet:
Völlig Korrektes vorgehen von Google.

Warum die Frist nicht verschoben wurde? Ganz einfach, weil man dann immer mehr ausnahmen machen soll, jeder eine Extra wurst haben will usw. Und die Kunden von Microsoft Produkten, die ja Geld dafür Bezahlen dürfen ja wohl erwarten das eine nichtmal selbst entdeckte Sicherheitslücke dann wenigstens von der Firma selber gefixt wird. Wenn das nicht möglich ist hat Microsoft da halt schlechte Strukturen oder der Code von Windows ist einfach unaufgeräumter Mist.

Solch ein vorgehen von Google ist für die Microsoft Kunden sogar vorteilhaft. Wenn man solch eine Frist nicht setzt, würde Microsoft vermutlich momentan nichtmal angefangen haben die Sicherheitslücke zu schließen. Und wer weiß ob nicht jemand vor oder gleichzeitig mit google entdeckt hat?!

Und von wegen das würde mehr Zeit in Anspruch nehmen: Schaut euch doch mal die ganzen Firmen/Projekte im Open Source Bereich an. Die brauchen NIE solange für ein Fix, egal worum es geht. Aber Microsoft soll das nicht schaffen können mit einem vielfachen an Ressourcen?

Manche hier sollten echt mal Ihre Windows Brille abnehmen. Mir ist google ja echt nicht sehr sympathisch, aber das vorgehen hier war völlig Korrekt in der Form.
 
Zuletzt bearbeitet:
@deo

Kann nicht sein, da ms ja bei google um 2 tage länger gebeten hat und sicher auch begründet hatte.
 
Dr. MaRV schrieb:
Dazu muss man aber auch erstmal wissen wo die Lücke ist, das Problem reproduzieren und wissen wie man diese Lücke schließen kann. Oder hat Google auch gleich den Action Plan zum Schließen mitgeliefert? Ich denke nicht. Mit dem Finger auf andere zeigen ist einfach. Genau wie es einfach ist, das plötzlich sämtliche Pseudoexperten hier meinen 90 Tage für einen Patch sind genügend Zeit.

Irgendwas kann man sicher gleich sofort bereitstellen, aber das richtige Mittel benötigt nun mal Zeit und wenn diese mehr als 90 Tage beträgt, dann ist das so. Schließlich kann man nicht einfach irgendwelche Entwickler aus irgendwelchen Teams abziehen und Patches schreiben lassen, für Produkte mit deren Entwicklung sie nicht vertraut sind.

Mich wundert es eigentlich auch unheimlich, dass bei dem ganzen Expertentum hier nicht einer Forennutzer auf diese Lücke aufmerksam gemacht hat und diese gleich selbst geschlossen hat. Wie geschrieben, mit dem Finger zeigen kann jeder... :rolleyes:
Zum Vergrößern anklicken....

Dem kann ich voll und ganz zustimmen.

Das schließen einer Lücke ist eine Sache. Aber es muss auch noch garantiert sein, dass alle Funktionen des Betriebssystems auch nach dem Schließen der Lücke funktionieren und die Datenkonsistenz erhalten bleibt. Das mag bei einem 100-Zeiler schnell geprüft sein, aber nicht bei einem Betriebssystem.

Auch muss gesichert sein, dass das schließen dieser Lücke keine neuen Lücken öffnet (wie war nochmal die Faustregel ? Das beheben eines Bugs erschafft zwei neue :) ).

Viele können den Aufwand dahinter nicht mal verstehen, aber kritisieren fällt ja bekanntlich immer leicht.
 
Absolut richtig von Google, wenn MS ÜBER 90 Tage braucht um ein Patch zu veröffentlichen dann ist das ein unding.
Man hätte spätestens nach 30 die Lücke provisorisch schließen sollen. Angreiffer und Hacker warten nicht 90 Tage.

Sicherheitsrelevante Patches Müssen früher verteilt werden, alls alle 30 Tage.
Wahrscheinlich ist der Patch schon 25Tage fertig, und man wartet schön auf seinen schwachsinnigen Patch day.

So nicht MS.
 
SnooW schrieb:
@deo

Kann nicht sein, da ms ja bei google um 2 tage länger gebeten hat und sicher auch begründet hatte.
Zum Vergrößern anklicken....

Ja, ich habe es gemerkt und geändert.
 
@Seppi_W
Die Konsistent kann man z.B. mit Unit-Tests sicherstellen. Heutzutage schreibt man erst die Tests, und dann den Code.
Somit wird dann automatisch sichergestellt, ob jede Funktion/Methode immer noch korrekt arbeitet.

@AAS
Webkit in Webview wurde damals intern ersetzt. Somit war diese Lücke überhaupt nicht relevant. Aber schöner billiger Bashversuch.
 
Zuletzt bearbeitet:
google hat mit android selbst eine riesengrosse baustelle vor der tür.. unglaublich das soviele pro-google sind. für mich hat ms alles richtig im sinne des kunden gemacht..

es gibt auch viele dritthersteller, die ihre produkte auf ms abstimmen (müssen)... sollen die das nun alle 5 tage machen?!

weltfremd, unbezahlbar..
 
Zuletzt bearbeitet:
Nun aber...Diese 90 Tage Regelung ist doch jetzt nicht seit einer Woche...sondern Microsoft kennt dieses Abkommen, oder?

Unabhänig ob MS noch den Patch testen muss und weitere Bugfix-Runden drehen muss, ob sie es mit 3rd-Software testen müssen.

Sie wissen, dass sie dafür 90 Tage haben und da hat man ja sowas wie Projektplanung, wo Abhängigkeiten, Prioritäten und Ressourcen eingeplant werden. Wenn es kann wird, dann stockt man die Ressourcen auf...oder man priorisiert andere Sachen runter.

Auch in anderen Unternehmen gibt es ein Abgabetermin und wenn der Entwickler sich verspätet, dann gibt es eben Strafzahlungen.
Das sollte aber der allekleinste Entwickler bei MS wissen...also 2 Tage hin, 2 Tage her.
 
Dr. MaRV schrieb:
Dazu muss man aber auch erstmal wissen wo die Lücke ist, das Problem reproduzieren und wissen wie man diese Lücke schließen kann. Oder hat Google auch gleich den Action Plan zum Schließen mitgeliefert? Ich denke nicht. Mit dem Finger auf andere zeigen ist einfach. Genau wie es einfach ist, das plötzlich sämtliche Pseudoexperten hier meinen 90 Tage für einen Patch sind genügend Zeit.

Irgendwas kann man sicher gleich sofort bereitstellen, aber das richtige Mittel benötigt nun mal Zeit und wenn diese mehr als 90 Tage beträgt, dann ist das so. Schließlich kann man nicht einfach irgendwelche Entwickler aus irgendwelchen Teams abziehen und Patches schreiben lassen, für Produkte mit deren Entwicklung sie nicht vertraut sind.
Zum Vergrößern anklicken....

Sehe ich genauso. Ich denke so eine Erpressung seitens der Problemmelder führt dazu dass MS sich eventuell genötigt sieht irgendwas mit der heißen Nadel hinzupfriemeln und/oder das Testen zu verkürzen. Und dann beschweren sich die Kunden auch wieder weil Patches plötzlich Probleme verursachen usw.

Wenn Google wirklich an der Sicherheit der Kunden im Allgemeinen interessiert wäre, dann würde man anders handeln.
 
Aber ab einer gewissen Größe des Entwickler-Teams skaliert die Produktivität nicht mehr mit der Anzahl der Entwickler
 
c2ash schrieb:
@Trefoil80
Das ist nicht das Problem von Google. Die Hersteller der Phones sind für den Support des Gerätes verantwortlich. Und die Hersteller wollen Geld verdienen und lassen den Support meist schon nach 1 Jahr nach dem Erscheinen eines Gerätes fallen.
Zum Vergrößern anklicken....

Sehe ich anders. Soll Google Android doch so gestalten, dass sich sicherheitskritische Teile IMMER updaten lassen...da sehe ich GOOGLE in der Pflicht! Verantwortung abschieben ist immer easy...
 
Sebbl2k schrieb:
da steht eigentlich alles für die unwissenden nörgler...
google hat mächtig mist gebaut...
Zum Vergrößern anklicken....
Nein, google hat nicht mächtig Mist gebaut, sondern Microsoft beim Erstellen des Codes.

Natürlich ist es doof das diese + 2 Tage, aber google hat klare Richtlinien, welche Microsoft durchaus bekannt sind und warum sollte man extra Würstchen machen? Nur weil es MS ist?
Dann hätte MS mehr Ressourcen dafür aufbringen sollen bzw müssen!
Dann ist das Update System von Microsoft bescheiden und man hätte eben ein gesondertes Update fahren müssen.
Seid doch froh das google auf diese Lücke hinweist, und sie geschlossen wird. Falls sie nicht eh schon missbraucht wird, ist damit hoffentlich spätestens beim Verteilen ein Ende gesetzt.

Wenn man mir zum Bezahlen einer Rechnung eine Frist setzt und ich diese bis dahin nicht begleiche, muss ich mich nicht wundern, wenn die Mahnung kommt bzw ein Inkasso eingesetzt wird mit entsprechenden Mehrkosten. :rolleyes:
So ist das nunmal mit Terminen.
 
Toms schrieb:
Wieviel hier sind denn mit der Software-Entwicklung vertraut? So etwas löst man nicht eben in 3 Minuten. Auch müssen ganz ganz viele Abhängigkeiten getestet werden, mit eigener Software aber auch mit häufig verwendeter Drittanbieter Software.
Zum Vergrößern anklicken....
Nur geht es hier nicht um einen Fix nach 3 Minuten, sondern dafür waren 90 Tag Zeit.

Irgendwie beißt sich da was, wenn man auf der einen Seite von "im Sinne der Nutzer" spricht und es dann in 3 Monaten nicht schafft so etwas zu beheben. Hier geht es auch nicht um ein 2-Mann-Hobbyprojekt, was in der Freizeit gepflegt wird.
 
genau, weil ms ms ist.. da reicht ein kurzer blick in die liste der verwendeten betriebssysteme. genau deshalb sollte man eine ausnahme machen und auf den patchday warten.

alles andere ist verantwortungslos.

"gesonderte updates"? weisst du wieviel kosten so ein update verursacht? nicht ms.. den kunden!

solange so eine lücke nicht öffenlich ist und diese vielleicht eine handvoll kennen.. wo ist das grosse problem 30 tage mehr zu warten?
 
Zuletzt bearbeitet:
Was viele hier nicht zu beachten scheinen ist dass die Sicherheitsluecken nicht nur von Google gefunden werden koennen sondern auch von anderen - und sogar teilweise Jahrelang unentdeckt bleiben.
Dies kann gut sein, wenn niemand diese Information hat - jedoch wird es problematisch wenn potentielle Angreifer die Information exklusiv besitzen.
Stichwort Heartbleed etc.).

Microsoft hat nun eben sein Oekosystem (M$nopol *hust*) geschaffen und damit auch eine Verantwortung gegenueber seinen Kunden, die btw im dreistelligen Millionenbereich liegen duerften.

Dies macht Windows wie kaum ein anderes Produkt zu einem Glied in einer Kette, die die globale Sicherheit betreffen. Stichwoerter Botnetze, Wuermer und auslaufende Sicherheitsupdates.

Wenn nun ein Hersteller fuer dieses Produkt Testing durchfuehrt, was dieser Hersteller eigentlich selbst machen sollte, braucht sich dieser nicht gross beschweren - insbesondere wenn es aus Gruenden des Managements geschieht.

Stichwort "Patch Day", als ob sich irgendeiner drum scheren wuerde...

Zum Development, man koennte natuerlich spezielle Konzessionen (mehr Zeit) fuer gewisse Probleme geben, jedoch wird dies aus der schieren Anzahl der Produkte und Luecken etwas unrealistisch, zumal wird hier von profitorientierten Firmen reden...
 
Zuletzt bearbeitet:
sgraphic schrieb:
(...)
Zum Vergrößern anklicken....
Dir ist aber schon bekannt, dass diese Frist eine Eigenkreation von Google ist, die sie nur auf Fremdsoftware anwenden? Genau wie dieses ganze Project Zero nur auf Fremdsoftware und darin enthaltener Lücken zielt?
Es ist nichts offizielles, Lücken publik machen und so einem Publikum zu präsentieren ist uncool. Man tut so etwas nicht, außer man ist Black Hat. Außer Microsoft ist auch niemand in der Lage das Problem zu beheben, weshalb es keinen Sinn macht es zu veröffentlichen, wir reden hier nicht von einer Linux Distri an der jedes Script Kiddy fröhlich dran mitarbeiten kann.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Andy
News Vorbote von Windows 11 23H2: Microsoft verteilt Windows-11-Update – ohne Copilot in der EU
10 11 12
Antworten
221
Aufrufe
25.205
Wishezz
Wishezz
S
  • Artikel
Leserartikel GrapheneOS auf dem Google Pixel 8 Pro
2
Antworten
33
Aufrufe
9.368
homer0815
homer0815
SVΞN
News OneDrive: Microsoft stellt den Support für Windows 7, 8 und 8.1 ein
3 4 5
Antworten
92
Aufrufe
12.018
Raucherdackel!
Raucherdackel!
SVΞN
News Windows 10: Microsoft Patchday legt erneut Drucker lahm
19 20 21
Antworten
406
Aufrufe
89.529
der-Kalli
der-Kalli
Frank
News Keine Reaktion: Google-Forscher veröffentlicht Lücke in TP-Link-Routern
3 4 5
Antworten
96
Aufrufe
13.864
Autokiller677
Autokiller677

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz