News Google legt Lücke in Windows 8.1 offen, Microsoft verärgert

[Frank]

Google hat heute eine Sicherheitslücke in Windows 8.1 öffentlich gemacht, da die Geheimhaltungsfrist von 90 Tagen abgelaufen ist. Microsoft ist über dieses Vorgehen verärgert, da das Unternehmen Google mitgeteilt hatte, dass morgen im Rahmen des Patchdays ein Update veröffentlicht wird.

Zur News: Google legt Lücke in Windows 8.1 offen, Microsoft verärgert

 

[Xanta]

Sehe es auch aus der Sicht von Microsoft.

90 Tage OK falls das Unternehmen nichts unternimmt, aber wegen 2 Tagen darüber?

 

[Shagrath]

@Xanta:
"Wir werden einen Patch veröffentlichen" und "wir brauchen zwei Tage länger" passen dann aber eben genau ins Beuteschema von Google, Druck auf die Hersteller auszuüben. Falls es dazu führt, dass die Patchentwicklung künftig schneller vorangeht, hat Google sein Ziel erreicht. Ob Microsoft darüber nun verärgert ist und das über den verlängerten Rücken der Kunden austragen möchte, ist eigentlich irrelevant.

 

[iBankai]

So sieht es aus.

 

[Toms]

Es kommt aber auch drauf an wie kompliziert es ist die Lücke zu schließenl. Die kann teilweise so tief im System verwoben sein, dass man sehr viel Code umschreiben muss, damit die Lücke fehlerfrei geschlossen werden kann. Das kann auch mal gut länger als 90 Tage dauern.

Zumal Microsoft bis auf Hotfixes eigentlich immer alles am Patch-Day ausrollt und das weiß auch Google

 

[hallo7]

90 Tage OK falls das Unternehmen nichts unternimmt, aber wegen 2 Tagen darüber?

Nunja, wenn man es aus Sicht von Google sieht ergibt das durchaus Sinn. Sonst werden aus 2 Tage mal eine Woche und der nächste bittet um ein Monat usw... Es ist für die Nutzer natürlich nicht schön und für alle wärs wohl besser gewesen wenn Google gewartet hätte aber 90 Tage sollten für MS eigentlich genug sein bzw. was ist der Grund warum man das Update nicht vorgezogen hat?

Das kann auch mal gut länger als 90 Tage dauern.

Die Lücke sauber zu entfernen kann durchaus länger dauern, aber in 90 Tagen sollte man die Lücke zumindest über ein Workaround soweit schließen können, dass sie keine Gefahr darstellt.

 

[Themis]

90 Tage? sie haben es nicht geschafft in 3 Monaten einen Patch zu veröffentlichen?

Scheint mir nicht so als wären sie sehr besorgt um die Sicherheit ihrer Kunden.

 

[real_Davi]

Passt schon so wenn eine Firma wie Microsoft es in 90 Tagen nicht hin bekommt hat sie jeden Shitstorm verdient !

 

[Sebbl2k]

arrogant und unfair von google... lücken vor schliessung zu veröffentlichen ist banane..90 tage hin oder her.
eigentlich war es ja zwischen den beiden abgeklärt. ein "bitte" sollte da genügen in diesem fall.

 

[Mighty X]

Falls es dazu führt, dass die Patchentwicklung künftig schneller vorangeht, hat Google sein Ziel erreicht. Ob Microsoft darüber nun verärgert ist und das über den verlängerten Rücken der Kunden austragen möchte, ist eigentlich irrelevant.

Jop, mit Druck lässt sich viel besser arbeiten. Da passieren nachweislich weniger Fehler. 2 Tage! C'mon!

 

[WhyNotZoidberg?]

gleich regeln für alle, find ich gut. oder warum sollte microsoft mehr zeit bekommen als andere?
und 90tage nicht schaffen ein update rauszuhauen ist eigentlich eh eine schwache leistung.

 

[Shagrath]

@Mighty X:
Innerhalb eines gewissen Rahmens tut etwas Druck den meisten eher gut, als das er schadet. Natürlich gibt es überall (auch schnell) zuviel des Guten. Möglicherweise erkennt man ja auch, dass man Overhead an Prozessen loswerden kann. Einen Manager entlassen, beispielsweise.

 

[Bigfoot29]

>>>[...] und eine feste Frist von 90 Tagen als „optimalen Ansatz für die Sicherheit von Nutzern“ bezeichnet.<<<
... und RECHT haben sie. Wenn man jetzt diskutiert, dass man bei MS noch zwei Tage länger braucht, dann haben sie das Thema intern falsch priorisiert. So einfach ist das. Schon allein, dass sicherheitskritische Updates nur einmal im Monat ausgerollt werden und nicht, sobald sie repariert sind, ist ein Fehler in der Bugfix-Strategie. Das darf MS auch gern wehtun. Das brauchen sie auch nicht auf die Nutzer abwälzen, wenn sie eine saubere Fehlerbehebung nicht hinbekommen...

@Toms: Nun, man macht bei einem Bug eine zeitnahe ERST-Analyse. Dann kennt man die Auswirkungen und kann Kapazitäten einplanen. Offensichtlich hat das bei MS nicht funktioniert. Immerhin haben sie ja auch den obligatorisch zu planenden Puffer überschritten. Da kann Google wenig für, auch wenn ich definitiv kein Google-Freund bin.

Regards, Bigfoot29

Nachtrag: 90 Tage halte ich persönlich für die Obergrenze. Wenn man bedenkt, dass es andere Anbieter gibt, die nicht- oder gerademal quartalsweise Bugfixes oder Sicherheitslücken für ihre Anwendungen herausbringen - hallo Cisco oder Oracle - , dann braucht es einfach Druck von den Kunden. Immerhin kann man sehr sicher davon ausgehen, dass Andere den Fehler auch gefunden haben dürften und ihn möglicherweise schon ein Weilchen ausnutzen...

 

[DunklerRabe]

Absolut korrektes Vorgehen. Microsoft hätte ja vorher patchen können, dann wäre alles ok gewesen. Irgendwann muss man den Kram veröffentlichen, sonst hocken die Hersteller auf ihren Sicherheitslücken und schließen sie vielleicht mal am St. Nimmerleins Tag. Google beeinflusst das Sicherheitsniveau natürlich nicht negativ durch diese Veröffentlichung, das ist ziemlicher Unfug. Andere finden diese Lücke vielleicht auch, nutzen sie aus, und sagen niemandem was.

 

[franeklevy]

^ finde die Reaktion beider Unternehmen nachvollziehbar. Allerdings können 90 Tage in der Softwareentwicklung sehr knapp sein, abhängig von der Komplexität des Problems. Ggf. sind davon andere Komponenten abhängig, es kommt auf die Layer-Ebene an, ist gar der Kernel selbst betroffen. Allein die Suche nach dem Fehler, die Reproduzierbarkeit, die Gewichtung des Fehlers, die Entwicklung des Patches an sich und der anschließende Test. Selbst bei MS können da 90 Tage recht sportlich sein. Man darf auch nicht vergessen, dass MS zwar eine gigantisch große Firma ist, aber eben auch nicht nur aus Entwicklern besteht, die Entwickler an sich arbeiten zudem in verschiedenen Teams.

Grüße
franeklevy

 

[deo]

Wieso die Aufregung? Wenn 90 Tage um sind, dann sind sie um. Wenn jemand in Flensburg einen Punkt über der Grenze hat, kann er auch keine Milde erwarten. MS hätte ja den Kalender ändern lassen können, damit der Patchday früher kommt.

 

[Dr. MaRV]

Es ist Schikane von Google und nichts anderes. Das passt zum asozialen Verhalten Googles, Microsoft wo es nur geht zu blocken und zu behindern. Ich möchte nicht wissen was passieren würde, wenn man den Spieß einfach umdreht und Chrome und inkl. der ganzen anderen Google Bloat- und Maleware auf Windows nicht mehr ausführbar macht. Verdient hätte es Google allemal, etwas von der eigenen Kost in den Rachen geworden zu bekommen.

 

[Sebbl2k]

es ist einmal im monat patchday.. ausser lücken werden vorher öffentlich. das soll auch reichen. oder wollt ihr die user und admins wegen 2 tagen noch mehr nerven?

 

[max_1234]

Sind beides miese Großfirmen. Die nehmen sich in meinen Augen nichts.
Und damit endet mein Kommentar auch schon wieder

Btw *News*.

mfg,
Max

 

[SnooW]

Völlig richtig von google. In zukunft weiß microsoft ganz genau das 2 tage drüber genau 2 tage zuviel sind. Und innerhalb von 90 tagen hätte man zumindest einen flicken veröffentlichen können.