News Exploit Strontium: Ein Patch für Windows und Kritik an Google

[emeraldmine]

Mist mein Tablet lädt keine automatischen Updates mehr, warum ? Weis ich nicht , vllt liegts an der 1GB RAM Sperre für das Anniversary Update ? Werd ich wohl manuell machen müssen. Besten Dank...

 

[Ycon]

Sicherheitslücken mussen publik gemacht werden, sonst dauert es Jahrzehnte bis die gefixt werden.

Siehe sämtliche Google-Produkte

 

[q3fuba]

Naja, ganz einfache Lage:
MS schert sich nen Dreck um Sicherheitslücken.
Google macht diese öffentlich, weil... ja weil sie es können und es ihnen sicher was bringt.
MS weint rum weil sie wieder mal was Arbeiten müssen um Geld zu verdienen.

Zum Thema Android ist nicht Sicher und OutDate bei vielen Herstellern:
Android kostet auch nichts, Windows hingegen schon!
Alleine von daher erwarte ich mir schnelleren und besseren Support als bei Android, vorallem in Sachen Sicherheit!
(Wird aber nicht der Fall sein)

Viele Android nutzenden Hersteller halten nur neue Geräte halbwegs UpToDate wenn überhaupt!
Updates sind mit Kosten verbunden und Kosten mindern den Profit, außerdem würden dann nicht so viele neue Geräte gekauft werden!
Aber liegt das an Google?
Klar ist Google mit seiner Machtposition von vielen gehasst, aber das macht wohl keinen Unterschied, irgendwer wird immer gehasst und wenn es nur Nachbars Lumpi oder im schlimmsten Fall die Blätter eines Baumes im Herbst sind...

Dieser ganze "mimimi MS Böse", "mimimi Google noch böser" und "mimimi Apple am bösesten" dreck, sollte langsam mal aufhören oder nicht?

Aber die ganzen Gehirngewaschen, Mediengesteuerten Volldeppen sehen und hören auch im TV und Radio nichts anderes, woher sollte man denn selbst nachdenken können?!?

 

[DieRenteEnte]

Im Deutschen würde man schreiben "aktualisiert" oder "aktuell" - besser noch "auf dem aktuellsten Stand". Ich schreibe zwar auch immernoch Up2Date und sowas, aber "upgedated" habe ich mir abgewöhnt - vielleicht tust Du es auch D:

Oder "auf dem aktuellen Stand", denn aktueller als aktuell ist nicht das "Aktuellste".
So wie "einzigste" keine mehr/weniger/besser/schöner ist als "einzige".

Wenn schon den Klugscheisser spielen, dann richtig!
Das sind aber übliche Fehler die leider sehr häufig wiederholt werden.

Und ganz nebenbei: "upgedated" ist Umgangssprache und somit "richtiger"!

Viele Android nutzenden Hersteller halten nur neue Geräte halbwegs UpToDate wenn überhaupt!
Updates sind mit Kosten verbunden und Kosten mindern den Profit, außerdem würden dann nicht so viele neue Geräte gekauft werden!
Aber liegt das an Google?

Ja, das liegt 100% an Google.
1. Weil Google Android so gemacht hat.
2. Weil Google es der Herstellern freistellt und teilweise erschwert. (siehe 1.)
3. Weil Google nicht wie Microsoft, wie bei Windows, einfach Updates anbietet, ganz egal wer die Hardware hergestellt, umgelabelt oder verkauft hat.

 

[Termy]

[...] aber sichlich nicht zum ausführlichen Testen. Und gerade bei Änderungen die den Systemkern betreffen sollte der Hersteller schon ausführlich testen können.

Microsoft und Windows 10 sind jetzt nicht unbedingt berühmt dafür, updates gründlich vor Veröffentlichung zu testen

Ich finde es ganz richtig, dass bei kritischen Lücken eine kurze Frist vor Bekanntmachung gesetzt wird - vor allem wenn die Lücke schon ausgenutzt wird. Dass Google da selbst auch manchmal kein Goldjunge ist widerspricht dem Ansatz ja nicht

 

[emeraldmine]

"upgedated" ist Umgangssprache

Ich schreib immer "du solltest uppen" oder "schon geupped ?" oder "das Aktuellste" ? verkehrt ? ich raffs nicht. Ich sollte Uppen ; b

 

[Merkuras]

Nun, generell sind 7 Tage eigentlich recht wenig Zeit, um bei einer Lücke - die mehrere Versionen einer Software betrifft - zu schließen... Da gab es doch mal großzügigere Zeitfenster.

Wenn ich das richtig verstanden habe, geht es auch nur um 7 Tage Reaktionszeit. Das heißt nicht, dass in dieser Zeit ein Patch vorliegen muss. Oft geht es einfach nicht so schnell, dass steht auch so in den Statuten von Google so drin. Sie wollen aber, dass zumindest in dieser Zeit ein Workaround über die entsprechenden Kanäle(es gibt spezielle Mailinglisten für Sysadmins für genau solche Fälle) veröffentlicht wird. So ein Workaround kann auch sein "deaktiviere Service xy bis wir den Patch liefern".
Deswegen hört sich das eher nach gejammer von Microsoft an, weil sie es nicht hin bekommen.

 

[Gelmir]

MS schert sich nen Dreck um Sicherheitslücken.

Ach, deshalb die regelmäßigen Windows Updates - oh, wait...

 

[floTTes]

Ach, deshalb die regelmäßigen Windows Updates - oh, wait...

Nee, damit werden nur BND und CIA neue Möglichkeiten gegeben!

Schade, dass sich die beiden Player nicht einigen können. Vielleicht bin ich da zu naiv.

P.S.: Bashing ... klar ... wen auch immer. Ihr solltet nur dran denken, dass die meisten Elite-Uni-Programmierer um einiges fähiger sind als der CB-Durchschnitt!

 

[chithanh]

Die 7-Tage-Frist gilt nur für Lücken, die Cyberkriminellen bereits bekannt sind und aktiv ausgenutzt werden. Insofern sind Anwender bereits gefährdet, und wurden jetzt von Google gewarnt. Microsoft hingegen hätte es lieber gesehen, wenn Anwender bis zum Patch Day unwissend geblieben wären.

Übrigens ist Google mit dem Beheben von Sicherheitslücken schnell, nur üben sie keinen Zwang auf die anderen Smartphone-Hersteller aus, zeitnah Sicherheitsupdates zu verteilen.

 

[maggus14]

MS schert sich nen Dreck um Sicherheitslücken.

Das erklärt sicherlich auch den Zwang zu Auto-Updates bei Windows 10.

 

[chithanh]

Der Zwang zu Auto-Updates kommt eher von einer anderen Seite:
https://www.schneier.com/blog/archives/2006/09/microsoft_and_f.html
Der Blog-Post ist 10 Jahre alt, aber immer noch aktuell.

 

[LuminousVision]

Microsoft hingegen hätte es lieber gesehen, wenn Anwender bis zum Patch Day unwissend geblieben wären.

Die Lücke wurde schon durch das Aktualisieren von Flash geschlossen. Und jeder weiß, dass man Flash sowieso immer aktuell halten muss. Warum wird hier also so auf Microsoft rumgeritten bzw. sie schlecht geredet?

 

[0711]

Naja, ganz einfache Lage:
MS schert sich nen Dreck um Sicherheitslücken.

die durchschnittliche dauer bis zu einem fix sagt etwas andres...

Zum Thema Android ist nicht Sicher und OutDate bei vielen Herstellern:
Android kostet auch nichts, Windows hingegen schon!

ganz nach dem Motto, was nichts kostet is nix? das kann doch schlicht kein Argument sein, der kunde zahlt die Hersteller für das gesamtpaket...oder kaufst du dein Smartphone ohne os?

Alleine von daher erwarte ich mir schnelleren und besseren Support als bei Android, vorallem in Sachen Sicherheit!
(Wird aber nicht der Fall sein)

verglichen mit welchem Support bei android? dem der Hersteller? da ist MS meilenweit voraus.

Aber liegt das an Google?

ja das liegt teilweise an Google weil sie eben ei ne gurke aufn markt geworfen haben die kein vernünftiges updatesystem kennt dessen man nun schon mit mehreren anläufen versuchte herr zu werden und am ende wohl resigniert hat und "möglichst viel" aus dem System gelöst und in den store verfrachtet hat

 

[kai84]

Richtig so, die Lücke offen zu legen sonst hätte sich Microsoft wahrscheinlich alle Zeit der Welt mit einem Patch gelassen. 7 Tage zu fixen müssen für einen weltkonzern wie MS reichen einen Patch bereit zu stellen - zumindest für die aktuellen Windows Versionen. Selbst Adobe hat die Lücke Flash-seitig schon geschlossen.

 

[0711]

Die 7-Tage-Frist gilt nur für Lücken, die Cyberkriminellen bereits bekannt sind und aktiv ausgenutzt werden. Insofern sind Anwender bereits gefährdet, und wurden jetzt von Google gewarnt. Microsoft hingegen hätte es lieber gesehen, wenn Anwender bis zum Patch Day unwissend geblieben wären.

ganz wie es Google bei seinen eigenen Produkten praktiziert...wann hat Google überhaupt die 7 tage frist kommuniziert? Mir ist nur die 90 Tage Frist bekannt.

 

[TrueAzrael]

Richtig so, die Lücke offen zu legen sonst hätte sich Microsoft wahrscheinlich alle Zeit der Welt mit einem Patch gelassen. 7 Tage zu fixen müssen für einen weltkonzern wie MS reichen einen Patch bereit zu stellen - zumindest für die aktuellen Windows Versionen. Selbst Adobe hat die Lücke Flash-seitig schon geschlossen.

7 Tage braucht man vermutlich schon mal um das fertige Update im Haus ausgiebig zu testen, davor kommt noch Analyse und Entwicklung. Es geht um ein Betriebssystem das in Konzernen rund um den Globus verwendet wird, da wirft man kein ungetestetes Update auf den Markt. Adobe hat sich hingegen schon des öfteren erlaubt mit einem Patch drei neue Lücken aufzureißen.
Im konkreten Fall ist es aber relativ egal ob die Lücke veröffentlicht wurde, da die Lücke in Flash geschlossen ist und man zur Not auch einfach auf selbiges verzichten hätte können bis ein Update vor liegt.

 

[blackiwid]

Die Lücke wurde schon durch das Aktualisieren von Flash geschlossen. Und jeder weiß, dass man Flash sowieso immer aktuell halten muss. Warum wird hier also so auf Microsoft rumgeritten bzw. sie schlecht geredet?

Vielleicht weil sie Grundlos Google attackiert haben. Ich seh das so beide haben alles richtig gemacht kein anlass zur kritik NUR kritisierte Ms google dafuer verdienen sie kritik.

Die schon geschrieben sind die 7 Tage nur gewaehlt weil hacker die Luecke schon aus nutzen. Google veroeffentlicht dann also nix mehr was kriminelle nicht eh schon wissen.

 

[chithanh]

Die Lücke wurde schon durch das Aktualisieren von Flash geschlossen.

Nein, die Lücke ist eine Kombination von Problemen in Flash und der Windows-eigenen win32k.sys. Das Beheben der Lücke in Flash schließt nur ein Einfallstor.

ganz wie es Google bei seinen eigenen Produkten praktiziert...wann hat Google überhaupt die 7 tage frist kommuniziert? Mir ist nur die 90 Tage Frist bekannt.

Die 7-Tage-Frist ist seit Mai 2013 offiziell.

Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation. The reason for this special designation is that each day an actively exploited vulnerability remains undisclosed to the public and unpatched, more computers will be compromised.

Seven days is an aggressive timeline and may be too short for some vendors to update their products, but it should be enough time to publish advice about possible mitigations, such as temporarily disabling a service, restricting access, or contacting the vendor for more information. As a result, after 7 days have elapsed without a patch or advisory, we will support researchers making details available so that users can take steps to protect themselves. By holding ourselves to the same standard, we hope to improve both the state of web security and the coordination of vulnerability management.

https://security.googleblog.com/2013/05/disclosure-timeline-for-vulnerabilities.html

 

[syntax868]

Wenn sich dann jemand freiwillig oder aus welchen Gründen auch immer den Flash Player selbst installiert ist das seine Sache, aber eine integration per se ist einfach nix.

Sehe ich genauso, keine Ahnung warum man Flash in's OS oder den Browser integrieren muss...