News Google gibt längere Schonfrist für Sicherheitslücken

[Silvio_]

Google wird Sicherheitslücken in Software anderer Unternehmen künftig unter Umständen erst später öffentlich machen und auf einen geplanten Veröffentlichungstermin des entsprechenden Softwareupdates Rücksicht nehmen. Der Internetkonzern reagiert damit auf die heftige Kritik durch Microsoft im Januar dieses Jahres.

Zur News: Google gibt längere Schonfrist für Sicherheitslücken

 

[Morrich]

Gabs da nicht auch irgendeine Sicherheitslücke bei Google, die deutlich länger als 90 Tage bestand? Wohl im Zuge dessen werden sie jetzt den Schwanz einziehen, weil sie sich sonst lächerlich machen würden.

 

[Silmaril]

Warum muss sich Google da eigentlich als "Sicherheitslücken-Polizei" aufspielen?! Vor allem da sie selbst mit voller Absicht Sicherheitslücken in alten Android Versionen offen lassen, obwohl über 100 Millionen Geräte betroffen sind?

 

[estros]

Warum muss sich Google da eigentlich als "Sicherheitslücken-Polizei" aufspielen?! Vor allem da sie selbst mit voller Absicht Sicherheitslücken in alten Android Versionen offen lassen, obwohl über 100 Millionen Geräte betroffen sind?

Wo steht denn, dass sie es müssen.
Ich glaube sie machen das freiwillig.

 

[pockic]

Google argumentierte, dass die Frist für ausnahmslos alle Produkte und Unternehmen gelte.

Zwar ist es gut, dass Druck gemacht wird, dass die Sicherheitslücken so schnell wie möglich geschlossen werden, andererseits macht es doch einen sehr großen Unterschied, ob es nun ein Bug in einem Browser-Plugin oder einen Betriebssystem ist. Je nach Ausmaß der Lücke sind für die Reproduzierung, Auffinden, Fixen und Testen und das teilweise über mehrere Versionen hindurch sind 90 Tage teilweise schon knapp. Da ist eine Schonfrist schon sehr von Vorteil.

 

[noxon]

Sind die bestehenden Sicherheitslücken der älteren Android Versionen mit in die Statistik eingeflossen oder haben sie die schön außen vorgelassen?

 

[CvH]

Gabs da nicht auch irgendeine Sicherheitslücke bei Google, die deutlich länger als 90 Tage bestand?

Man muss ja nur die aktuelle bzw Andoid 4.4 installieren um das Problem zu beheben, wenn der jeweilige Hersteller der Meinung ist die neuen Versionen nicht durchreichen zu müssen wäre evtl dort die Kritik angebracht (an der Hardware liegt es bei zumindest 4.4 nicht).

 

[Necrosly]

Kinderkram! Die meisten Anwender installieren sich Updates eh manuell.

 

[fatony]

Warum muss sich Google da eigentlich als "Sicherheitslücken-Polizei" aufspielen?!

Google hat das Geld und zeigt das Engagement. Dieses Projekt stellt gute Anreize dar: Entweder man schließt die Lücke oder macht sich lächerlich.
Immerhin muss das Unternehmen nicht mehr selbst nach diesen "dicken" Lücken suchen, sondern Google tut es oder lässt es tun.

So what?!

Vor allem da sie selbst mit voller Absicht Sicherheitslücken in alten Android Versionen offen lassen, obwohl über 100 Millionen Geräte betroffen sind?

Warum sollte man die Lücken älterer Android Versionen schließen durch unnötiges und kostenaufwendiges Nachpatchen schließen? So lässt man die Nutzer gleich, was neues kaufen oder man besorgt sich ein Custom ROM

 

[charly76]

Gibt ja auch für manche "Google" Geräte kein 4.4.x mehr. Warum ein neues kaufen? Die laufen doch noch gut genug.

Finde das Vorgehen von Google nicht gut. Dann könnte MS ja auch sagen, keine Patche mehr für Win 7, 8 - User können ja auch 8.1 umsteigen.

Die Abhängigkeit vom Herstellersupport ist bei Android eine bescheidene Sache.

 

[theo_retiker]

Warum sollte man die Lücken älterer Android Versionen schließen durch unnötiges und kostenaufwendiges Nachpatchen schließen? So lässt man die Nutzer gleich, was neues kaufen oder man besorgt sich ein Custom ROM

Nur muss man - denke ich - zwischen dem Sicherheitsrisiko und dem Wunsch, dass ich Kunden neue Software besorgen, abwägen und ich finde, dass das offen lassen von Sicherheitslücken in über 900 Millionen Geräten doch sehr riskant und etwas ungerechtfertigt ist.

 

[ottoman]

Warum muss sich Google da eigentlich als "Sicherheitslücken-Polizei" aufspielen?! Vor allem da sie selbst mit voller Absicht Sicherheitslücken in alten Android Versionen offen lassen, obwohl über 100 Millionen Geräte betroffen sind?

Sind die bestehenden Sicherheitslücken der älteren Android Versionen mit in die Statistik eingeflossen oder haben sie die schön außen vorgelassen?

Dafür sind die Hersteller der Geräte verantwortlich und nicht Google.

 

[AP Nova]

Ich finde es ist erst einmal nichts Schlechtes daran, wenn Google Sicherheitslücken in der Software anderer Unternehmen sucht und an diese Unternehmen weiterleitet, damit sie behoben werden können. Letztendlich macht das die Software, die wir alle nutzen, sicherer; vor diesem Aspekt finde ich, dass das zu befürworten ist.

Inwiefern Google bei (einem Teil?) seiner Produkte selbst noch hinsichtlich seiner Sicherheitspolitik Verbesserungsbedarf hat, hat damit erst einmal nichts zu tun. Ich meine das nicht in dem Sinn, dass Google da machen können sollte, was es will, aber das ist ein hiervon unabhängiges Thema. Und solange Google nicht öfter mal damit auffällt, durch "frühzeitig" veröffentlichte Lücken Konkurrenzunternehmen zu "brandmarken", steht die Kritik daran auch auf einem anderen Blatt.

 

[SkipOutLaw]

Dafür sind die Hersteller der Geräte verantwortlich und nicht Google.

Tolle Einstellung, das sollte Microsoft am besten auch so umsetzen. Da ist man fein raus, immer schön die Verantwortung weg schieben und auf andere zeigen, genial!

 

[ozelot.junior]

Finde es schon peinlich, wenn mehr als 90 Tage gebraucht wird, um eine Sicherheitslücke zu stopfen. Und dann auch noch vom Microsoft Konzern. Musste nicht ADOBE wegen seinem Flashplayer innerhalb kürzester Zeit ein paar Fixes rausbringen? Warum sollte MS da mehr Zeit bekommen?

 

[Piktogramm]

Der Sinn solcher fixen Fristen ist doch auch, oder gar vor allem, dass Systeme und Abläufe so ausgelegt werden, dass Patches in 90Tagen oder kürzer kommen. Mit dem Responsible Disclosure soll doch gerade Druck aufgebaut werden, damit sowas in Zukunft besser passiert.

Das Google Sicherheitslücken erforscht ist ansonsten berechtigt und von den eigenen Leichen im Keller getrennt zu betrachten. Das die Fristen jetzt ausgeweicht werden ist jedoch Mist, mangelnder Druck hat ha gerade dazu geführt, dass Sicherheitslücken von Anbietern akzeptiert und über Jahre nicht geschlossen werden.

Das Google mit Android ein eigenes Betriebssystem hat wo Sicherheitslücken offen bleiben ist Google anzulasten und nur bedingt den Geräteanbietern. Google hat ein Betriebssystem gestrickt, bei denen sicherheitskritische Elemente im Betriebssystem stecken und nicht separat gepatcht werden können. Sie haben damit eine Platform geschaffen, die nicht patchbar ist und die waren sich diesem Umstand äußerst bewusst. Kurz Google hat scheiße gebaut und hat den Umstand, dass millionenfach angreifbare Geräte unterwegs sind zu verantworten

 

[PiPaPa]

Dafür sind die Hersteller der Geräte verantwortlich und nicht Google.

Jain... Es liegt auch an der Architektur von Android und somit google.
Aber die größte Schuld trifft die Hersteller, welche keine Updates bringen.

Tolle Einstellung, das sollte Microsoft am besten auch so umsetzen.

Vollkommen andere Situation.

Problem ist einfach man müsste Android anders designen, das OS Unterbau und GUI + Programme getrennt voneinander sind und Android eben immer geupdated werden kann.

Problem sind auch oft Hardwarehersteller die keine passenden Treiber anbieten...

 

[CvH]

Tolle Einstellung, das sollte Microsoft am besten auch so umsetzen. Da ist man fein raus, immer schön die Verantwortung weg schieben und auf andere zeigen, genial!

Haben sie doch, oder warum funktioniert die Hardware nur durch die Treiber der Hersteller ? Die Treiber die auf der Windows CD dabei sind hat nicht Microsoft programmiert ! Ist ja nichts neues das bei einer neue Version des Betriebssystem mal wieder eine Hardware nicht mehr geht.

 

[floTTes]

Eine berechtigte Schonfrist ist schon wünschenswert - zudem sie wohl auch nur mit einem vorhanden Patch gewährt wird.

Android selbst wird stetig weiterentwickelt. Es gibt allerdings keine stabilen Zweige, die langjährig unterstützt werden. Das ist vom Design her schon sehr fragwürdig. Es geht auch anders - siehe Linux-Kernel. Sicherlich haben die HARDWARE-Hersteller Möglichkeiten - durch die Politik Googles aber nur sehr aufwendige.

 

[cbtestarossa]

MS hat da mal gar nix zu melden.
Sollnse mal gucke das se dere Upates ohne Bluscreen hinbekommen

p.s. datt is kein trollpost