News Google legt Lücke in Windows 8.1 offen, Microsoft verärgert

[WhiteShark]

jetzt kommt google und veröffentlicht die sicherheitslücke 2! tage vor dem patchday und zack.. sind plötzlich 10.000 hacker scharf auf die lücke und hacken 1.000.000 rechner..

Daran ist dann aber einzig und allein Microsoft Schuld. Es kann doch nicht sein, das man eine Sicherheitslücke über 3 Monate offen lässt, obwohl man davon weiß.
Aus diesem Fehler wird Microsoft hoffentlich lernen und die Patches etwas zeitiger bringen. Meine Hoffnung das der Patchday abgeschafft wird, wird wohl weiter nur eine Hoffnung sein.

 

[Sebbl2k]

kannst du nicht lesen? das ist nicht umsetzbar. es gibt größere umgebungen als dein rechner, die alle gepatcht werden möchten.

wo hat microsoft schuld? kennst du windows? weisst du wie komplex das ist? weisst du, dass 5.000 programmierer langsamer sein können als 100?

man kann ja viel diskutieren.. aber in diesem fall.

es wird immer welche geben die gehackt werden.. und die werden mehr, wenn der patchday abgeschafft wird. die lücke wird mit dem patch veröffentlicht. und nicht jeder patcht dann sofort oder hat überhaupt nicht die möglichkeit mit seinem 56k modem sofort zu patchen.

viele sind ja so schon überfordert..

 

[DaBzzz]

wo hat microsoft schuld? kennst du windows? weisst du wie komplex das ist? weisst du, dass 5.000 programmierer langsamer sein können als 100?

...Zeit für 4900 Arbeitslose mehr. Oder 4800, man kann ja ein konkurrierendes Grüppchen aufmachen und sie gegeneinander ausspielen. Macht immer noch 4800 gesparte Löhne UND eine gelöste Bremse.

 

[PiPaPa]

Dann muss man als Monopolist seine Software eben so designen das entsprechende Updates und Vorgänge einfacher zu handhaben sind.

Es kann nicht sein das Sicherheitslücken monatelang offen sind. Dann muss man eben mehr Ressourcen dafür zur Verfügung stellen.

Selbes fällt mit da zur Autoindustrie ein, welche teils Autos bauen bei denen ein simpler Glühlampenwechsel zum Staatsakt wird, weil man die komplette Front des Fahrzeugs auseinander nehmen muss.

 

[Sebbl2k]

Dann muss man als Monopolist seine Software eben so designen das entsprechende Updates und Vorgänge einfacher zu handhaben sind.

Es kann nicht sein das Sicherheitslücken monatelang offen sind. Dann muss man eben mehr Ressourcen dafür zur Verfügung stellen.

Selbes fällt mit da zur Autoindustrie ein, welche teils Autos bauen bei denen ein simpler Glühlampenwechsel zum Staatsakt wird, weil man die komplette Front des Fahrzeugs auseinander nehmen muss.

ja, dann design windows doch mal ebend so um.. wenn es so einfach ist. und das ganze drum herum, die dritthersteller, hardwarehersteller usw.
ich hab da nicht soviel ahnung von..
einige machen den eindruck, als hätten sie mehr ahnung davon und richtig den durchblick.. aber so richtig den durchblick haben da wohl nur ganz wenige, bei microsoft.
das ist ein gewachsenes system.
und natürlich steckt da auch wirtschaftliches interesse hinter.. was auch nicht jeder verstehen will.
"man könnte ja so und so blabla.. aber was ist dann damit? und damit? und damit?"

wegen deiner glühbirne.. wieso nicht? du sollst in die werkstatt fahren und zahlen.. so einfach ist das .

...Zeit für 4900 Arbeitslose mehr. Oder 4800, man kann ja ein konkurrierendes Grüppchen aufmachen und sie gegeneinander ausspielen. Macht immer noch 4800 gesparte Löhne UND eine gelöste Bremse.

da gings ja speziell darum, dass einige meinen "sollen sie halt mehr resourcen bereitstellen"... das bringt es nicht immer.

 

[WhiteShark]

kannst du nicht lesen? das ist nicht umsetzbar. es gibt größere umgebungen als dein rechner, die alle gepatcht werden möchten.

Natürlich ist das umsetzbar. Nichts hindert Firmen daran mit den Updates zu warten und sie bspw wöchentlich gesammelt zu installieren.
Der Patchday war schon immer totaler Schwachsinn.

wo hat microsoft schuld? kennst du windows? weisst du wie komplex das ist? weisst du, dass 5.000 programmierer langsamer sein können als 100?

Wir reden hier von 3 Monaten oder auch 12 Wochen oder 480 Arbeitsstunden. In der Zeit sollte ein Patch locker möglich sein.
Es ist schon sehr großzügig das man Microsoft überhaupt solange Zeit lässt. Ich persönlich würde schon nach zwei Wochen die Lücke öffentlich machen. Denn auch das sind 80 Arbeitsstunden und völlig ausreichend.
Würde ich bei einem Bugreport in meiner Software dem User sagen, das er noch 3 Wochen bis zum Patchday warten müsste, wäre ich schnell meinen Job los.

es wird immer welche geben die gehackt werden.. und die werden mehr, wenn der patchday abgeschafft wird. die lücke wird mit dem patch veröffentlicht. und nicht jeder patcht dann sofort oder hat überhaupt nicht die möglichkeit mit seinem 56k modem sofort zu patchen.

Warum sollten die gehackten mehr werden? Gerade die Privatanwender nutzen doch das automatische Update, da ist es egal ob das einmal im Monat oder jede Woche anspringt.
Gerade mit 56k Modem eher ein Vorteil wenn Updates gleich zur Verfügung stehen. Dann muss man nicht mehrere Nächte die Updates laden, sondern läd halt mal eben das eine kleine Update.

 

[Sebbl2k]

@whitesshark

du kennst den standardanwender ja ganz genau.. der wird dann 1 monat alle 3 tage udaten und die updatefunktion dann ausschalten, weil das dingen dann alle 3 tage mitten in der email wegen irgendnem mist neustarten will. geht abgesehen davon ja auch mehr um die unternehmen, die gerade anfangen den extended support für windows 7 zu zahlen. sche*ss privatanwender sind nicht so wichtig

und der 56k modem user freut sich, wenn ständig die website nicht mehr laden will, weil gerade so ein scheiss update auf der leitung steht.
der will das zur not nachts laufen lassen...

 

[WhiteShark]

Dann klickt man das Neustartfenster eben weg. Wo ist das Problem?
Oder Microsoft lässt die Meldung ganz weg.

Der 56k User läd die Updates eh nicht automatisch runter, sonst könnte er ja am Patchday nicht surfen.

Und auch für Firmen macht es keinen Sinn die updates an einem Patchday zu bringen. Die Firmen können so oder so steuern wann die Updates installiert werden.

 

[Sebbl2k]

es nervt, whiteshark... der 56k user lädt nachts das gesamte paket und fertig. der muss ja nicht sofort laden...

die firmen können steuern?! was können die steuern? sobald dritthersteller die verträglichkeitstests durch haben, sollte installiert werden. soll nun alle 3 tage auf verträglichkeit getestet werden? was sollen das kosten? wer macht das dann bitte noch und patcht regelmäßig? ist doch weltfremd und nicht bezahlbar.

nicht ohne grund gibt es den patchday seit, in der it, ewigen zeiten.. die werden sich schon was bei gedacht haben.. nur so nebenbei.

 

[Autokiller677]

Autokiller677:
Du gehörst auch zu denen, die wollten dass Google für Microsoft eine Ausnahme von ihrer 90-Tage-Regelung macht und auf die Verfügbarkeit eines Patches wartet. Außerdem bist du der Ansicht, dass Googles Veröffentlichung den Anwendern schadet. Insofern bist du in der Liste ganz gut aufgehoben.
Sicherheitsforscher kritisieren das schon seit langem: Es gibt schlicht keine gesetzliche Regelung, die Softwarehersteller zur Reaktion auf Sicherheitslücken zwingt. Das einzige Druckmittel, das die Entdecker also haben, ist mit der Veröffentlichung der Lücke zu drohen.

Dann soll er das auch bitte so schreiben oder du seinen Post ordentlich lesen. Oben schreibt er, dass wir fordern, es solle Möglichkeiten geben, dass Veröffentlichen zu verhindern. Davon habe ich NIE geredet. Ich habe gesagt, es soll 2 Tage später veröffentlicht werden, in dem Fall auch zum Schutz der Kunden. Wie gesagt: hätte MS heute gesagt "Hmm ne, noch ein Monat bitte" - ja, Veröffentlichen, Druck machen. So ist es nur geschäftsschädigend. Selbst wenn man MS's Prinzip vom Patchday für schlecht hält - auch hier kann MS nicht ohne Ankündigung in einem Monat einfach das Konzept über den Haufen werfen. Da laufen die Businesskunden Sturm.

Und ja: Eine Veröffentlichung 2 Tage vor dem Patch schadet den Kunden. Das Programm insgesamt könnte positive Auswirkungen haben, aber in diesem Einzelfall eben nicht.

 

[WhiteShark]

Das Unternehmen kann auch einen Monat warten bis es die Updates installiert. Genauso wie die Dritthersteller einmal monatlich testen könnten. Dazu braucht es keinen Patchday.
Der 56k User kann auch einen Monat mit den Updates warten. Oder er läd halt das eine Update während er auf dem Klo sitzt.

Ich habe gesagt, es soll 2 Tage später veröffentlicht werden, in dem Fall auch zum Schutz der Kunden.

Und warum sollte man 2 Tage warten, wenn doch mehr als genug Zeit war rechtzeitig zu reagieren?
Nächstes mal sind es dann 4 Tage, dann ne Woche. Die 3 Monate sind schon mehr als großzügig bemessen. Da ist jede Verlängerung unangebracht.
Microsoft wusste von den 3 Monaten. Wenn deren Patchday dafür halt 2 Tage zu spät kommt, hätten sie es ausserhalb des Patchdays, oder halt einen Monat früher bringen müssen.

 

[PiPaPa]

ja, dann design windows doch mal ebend so um.. wenn es so einfach ist.

1. Hat niemand gesagt das es einfach sei
2. Wie lange will Microsoft denn noch Designfehler mit sich rumschleppen?

Aber offenbar darf man nur Kritik äußern wenn man OS Entwickler ist... .

 

[Sebbl2k]

Das Unternehmen kann auch einen Monat warten bis es die Updates installiert. Genauso wie die Dritthersteller einmal monatlich testen könnten. Dazu braucht es keinen Patchday.
Der 56k User kann auch einen Monat mit den Updates warten. Oder er läd halt das eine Update während er auf dem Klo sitzt.

achso.. die firmen sollen dann den ganzen monat mit für jedermann öffentlichen sicherheitslücken durch die gegend surfen, damit die hobbyhack0r auch mal erfolgserlebnisse haben. sehr gut durchdacht

 

[Autokiller677]

Daran ist dann aber einzig und allein Microsoft Schuld. Es kann doch nicht sein, das man eine Sicherheitslücke über 3 Monate offen lässt, obwohl man davon weiß.
Aus diesem Fehler wird Microsoft hoffentlich lernen und die Patches etwas zeitiger bringen. Meine Hoffnung das der Patchday abgeschafft wird, wird wohl weiter nur eine Hoffnung sein.

90 Tage für einen Patch sind schon verdammt viel. Darum finde ich das von Google in Ordnung.
30 Tage würden auch schon ausreichen.

Und ihr habt aufgrund welcher Qualifikationen das Wissen, um das zu beurteilen? Seit ihr zufällig Softwareentwickler bei MS und wisst genau, wie das System aufgebaut ist und wie aufwendig zu warten?

Die update Politik von Microsoft ist eh ziemlich daneben. Patches haben zu kommen wenn sie fertig sind und nicht erst Wochen später an einem Patch Day.

Dann benutz doch einfach ein anderes System. Ich weiß ja, was ich kaufe, ist ja bekannt wie das gehandhabt wird. Bei Linux habe ich die Wahl, deshalb benutze ich da Arch Linux - schnellere Updates gibt es praktisch nicht, große Upgrades sind wegen dem Rolling Release auch nicht nötig.

 

[WhiteShark]

Und du glaubst das die gemeldeten Sicherheitslücken nicht auch von anderen innerhalb der 3 Monate gefunden werden?
Zumal Windows ein geschlossenes System hat. Patchrelease bedeutet nicht das auch gleich die Lücke dazu offen gelegt werden muss.

Und ihr habt aufgrund welcher Qualifikationen das Wissen, um das zu beurteilen? Seit ihr zufällig Softwareentwickler bei MS und wisst genau, wie das System aufgebaut ist und wie aufwendig zu warten?

Ich bin selbst Programmierer und denke schon das beurteilen zu können.
Das schwierige ist es eher die Lücke zu finden, als zu schließen. Aber gefunden ist sie ja bereits.
Und ich bin sicher, das die Lücke innerhalb eines Tages geschlossen werden könnte, wenn diese direkt öffentlich wäre.

Dann benutz doch einfach ein anderes System. Ich weiß ja, was ich kaufe, ist ja bekannt wie das gehandhabt wird. Bei Linux habe ich die Wahl, deshalb benutze ich da Arch Linux - schnellere Updates gibt es praktisch nicht, große Upgrades sind wegen dem Rolling Release auch nicht nötig.

Nur blöd das es für Spiele keine wirkliche Alternative gibt. Einfach ein anderes System nutzen ist für die meisten leider nicht möglich.

 

[Sebbl2k]

1. Hat niemand gesagt das es einfach sei
2. Wie lange will Microsoft denn noch Designfehler mit sich rumschleppen?

Aber offenbar darf man nur Kritik äußern wenn man OS Entwickler ist... .

jeder darf kritik äußern..
nur ich kenne bald ein halbes dutzend, deren konnten wurden leer geräumt weil sie alles falsch gemacht haben und mit updaten nichts anfangen können (konnten).. da leuchtet unten rechts auch immer das java-logo.
die etwas technikaffinen bekannten mit hang zur vorsicht und nicht lass-ma-den-videoplayer-installieren-tick haben dagegen weniger ein problem.. im grunde ist doch der user das hauptproblem, nicht ms.
ich würd auch scharfe kritik äußern, wenn ich plötzlich irgendeinen mist auf meinem rechner hätte.. aber mein system ist im grunde richtig alt, älter als die hardware und wird umfangreich genutzt. trotzdem nie probleme.

Ergänzung (13. Januar 2015)

Und du glaubst das die gemeldeten Sicherheitslücken nicht auch von anderen innerhalb der 3 Monate gefunden werden?
Zumal Windows ein geschlossenes System hat. Patchrelease bedeutet nicht das auch gleich die Lücke dazu offen gelegt werden muss.

es wird jedenfalls nicht so breitgetreten.. es gibt sicherheitslücken, die existieren seit jahren und keiner findet sie. 3 monate reichen da ggfs. schon.
geschlossenes system?! ist der patch raus, ist die lücke raus..

 

[WhiteShark]

geschlossenes system?! ist der patch raus, ist die lücke raus..

Eben nicht. In den Code kann ja niemand reinschauen, also weiß auch niemand was genau mit dem Patch geschlossen wurde.

 

[Autokiller677]

Du kannst aber probieren, die Lücke auf einem gepatchten System auszunutzen.

 

[Sebbl2k]

Eben nicht. In den Code kann ja niemand reinschauen, also weiß auch niemand was genau mit dem Patch geschlossen wurde.

es gibt genug infos dazu im internet, nach veröffentlichung. wenn man schon mal ungefähr weiß wo man suchen muss..
eine lücke in excel fände ich als hacker schon interessant.. da würde ich mir dann mehr infos besorgen.


http://winfuture.de/news,85354.html

 

[WhiteShark]

Du kannst aber probieren, die Lücke auf einem gepatchten System auszunutzen.

Das hieße aber die Lücke wäre den Hackern bekannt. Wenn dies der Fall ist, dann ist es doch gut wenn nicht erst 3 Monate gewartet wird.