CVE-2017-0037 - Google veröffentlicht Lücke in Edge/IE - Bisher kein Patch seitens MS

Lavaground · 28. Februar 2017

CVE-2017-0037

https://bugs.chromium.org/p/project-zero/issues/detail?id=1011

Ich nehme an MS arbeitet schon seit Meldung seitens Google am Fix, muss aber gewährleisten, dass andere Software nicht gestört wird dadurch.

Zuspät für mich um nach MS Statements zu suchen, das Bett ruft.

Es wäre aber allgemein hübscher wenn die Konzerne sich einigen könnten und solche Veröffentlichungen verzögern oder einfrieren, sollte an einem Fix gearbeitet werden.
Ansonsten machen solche Veröffentlichungen definitiv Sinn, um den Herstellern einzuheizen.

P.S.: Ich hoffe ich bin im richtigen Subforum

Wilhelm14 · 28. Februar 2017

Verlink doch wenigstens die Quelle der News.
https://heise.de/-3636908

DunklerRabe · 28. Februar 2017

Lavaground schrieb:
Es wäre aber allgemein hübscher wenn die Konzerne sich einigen könnten und solche Veröffentlichungen verzögern oder einfrieren, sollte an einem Fix gearbeitet werden.

Das funktioniert nicht, dann sitzen einige einfach für Jahre auf ihren Lücken und sagen immer nur "Ja ja, wir arbeiten dran!". Google macht das genau richtig und besonders ist gerade nur, dass es jetzt Microsoft zum zweiten Mal in kurzer Zeit trifft. Microsoft ist der Vorgehensweise von Google nicht gerade positiv gegenüber eingestellt. Aber sie werden es überstehen und hoffentlich nutzen sie das für die Erkenntnis, dass man falsch aufgestellt ist oder die falschen Ansichten hat, wenn man eine Lücke nach 90 Tagen nicht patchen kann oder will, und da was dran tun muss.

WhyNotZoidberg? · 28. Februar 2017

DunklerRabe schrieb:
Das funktioniert nicht, dann sitzen einige einfach für Jahre auf ihren Lücken und sagen immer nur "Ja ja, wir arbeiten dran!". Google macht das genau richtig[…]

seh ich genauso. wenn da kein "druck" dahinter ist, wird das eventuell auf die lange bank geschoben. (nicht nur auf microsoft bezogen)

andy_m4 · 28. Februar 2017

DunklerRabe schrieb:
Aber sie werden es überstehen und hoffentlich nutzen sie das für die Erkenntnis, dass man falsch aufgestellt ist oder die falschen Ansichten hat, wenn man eine Lücke nach 90 Tagen nicht patchen kann oder will, und da was dran tun muss.

Möglicherweise war ja der Fix im ausgefallenen Februar Patchday. :-)

/root · 28. Februar 2017

Auch wenn Google mittlerweile ein arroganter Haufen ist finde ich den Ansatz hart aber fair. Wenn man in 90 Tagen keine Vulnerability mitigieren kann (muss ja nicht mal sauber gepatched sein) soll man ruhig die negative Publicity kassieren.

Wilhelm14 · 28. Februar 2017

DunklerRabe schrieb:
...hoffentlich nutzen sie das für die Erkenntnis, dass man falsch aufgestellt ist oder die falschen Ansichten hat...

90 Tage halte ich für angemessenen, sanften Druck. Ich kann mir nicht vorstellen, dass ein Unternehmen wie Microsoft in so einer Zeitspanne nicht reagieren kann. Allerdings, wer im Glashaus sitzt... Google sollte vielleicht mal die Ansichten über Android überdenken. Android selbst mag bei aufgedeckten Lücken schnell gefixt werden. Die Smartphone-Hersteller setzen das meist sehr träge in ihre Geräte, wenn überhaupt, um.

Lavaground · 1. März 2017

Wilhelm14 schrieb:
Verlink doch wenigstens die Quelle der News.
https://heise.de/-3636908

habs auf reddit gesehn...

@Andy das hab ich auch gedacht xD

Suche

CVE-2017-0037 - Google veröffentlicht Lücke in Edge/IE - Bisher kein Patch seitens MS

Lavaground

Lt. Commander

Wilhelm14

Fleet Admiral

DunklerRabe

Gast

WhyNotZoidberg?

Vice Admiral

andy_m4

Admiral

/root

Lt. Commander

Wilhelm14

Fleet Admiral

Lavaground

Lt. Commander