News Google legt Lücke in Windows 8.1 offen, Microsoft verärgert

[mauorrizze]

[...] und Chrome und inkl. der ganzen anderen Google Bloat- und Maleware auf Windows nicht mehr ausführbar macht.

Dann wünsche ich dir ein OS an den Hals, das dir vorschreibt was du auf deinem Rechner ausführen darfst und was nicht ;P
Wird eh irgendwann passieren, iOS breitet sich aus und Microsoft kann ja auch schon vorschreiben, welches OS auf Komplett-Rechnern mit Windows 8 Zertifizierung ausgeführt werden darf. Ich hoffe aber es dauert noch ein Weilchen bis es zum Standard auf dem PC wird.

Dass google seine "Prinzipien" hier für Microsoft-PR-Bashing misbraucht ist glaubhaft und natürlich böse. Aber an die vielen Stimmen die sich darüber echauffieren, dass Google mit dieser 90-Tage-Frist andere Hersteller gängelt:
Ohne dieses Programm würden viele der Sicherheitsheitlücken nie gefixt und keiner weiß wie viele davon bereits zu dem Zeitpunkt oder in Zukunft auf Exploitmärkten gehandelt wurden und werden. Jeder gefundene und offengelegte Bug macht Software auf lange Sicht sicherer. Natürlich ist das für den Hersteller mit Aufwand verbunden und viele würden die Bugs lieber totschweigen, aber genau deshalb sind solche Programme wichtig.

 

[kai84]

Wahrscheinlich hätte sich MS nicht gerührt wenn Google die Lücke nicht offengelegt hätte.

90 Tage finde ich schon sehr großzügig bemessen um eine große Sicherheitslücke zu patchen.,

Da würde ich als MS den Ball schön flach halten.

 

[c2ash]

@Seppi_W
Es kommt auch noch sehr darauf an, wie man die Software entwickelt. Als gutes Bsp. sei nur mal Model Driven Developement erwähnt.
Viel wichtiger als das eigentliche Programmieren ist eine gute Architektur. Und dafür braucht man gute Softwarearchitekten (besonders wenn es um große Projekte geht). Das Programmieren der einzelnen Module kann dann ein Prorgammierer in Indien übernehmen. Bei kleineren Gruppen helfen ja auch immer die guten alten agilen Methoden/Lean Prinzipien (Scrum, Kanban).

 

[Schnitz]

Ist es das tatsächlich? Wer gibt Google das Recht, die 90 Tage-Policy einzuführen und durchzusetzen?
Ist Google der Gott des Internets, der allein sämtliche Gepflogenheiten bestimmen darf?

Sollen sie Deiner Meinung nach die Lücken lieber an die NSA verticken oder doch lieber dafür sorgen das sie geschlossen werden? Hätte Google die Policy nicht könnten sie M$ die Lücke nennen - allerdings würde die dann in 2 Jahren erst dicht sein und nicht in 2 Tagen.

Und es ist bei Google schlicht Pädagogik: Wer Sanktionen androht muss sie im Fall dann auch umsetzen oder man wird unglaubwürdig.

Und nein Google ist nicht Gott - sondern eine Fanboy-Religion, so wie M$, Linux, Nvidia, Intel blablabla.

 

[hallo7]

Spontane Verschiebungen führen am Ende eher zu Chaos auf beiden Seiten als das irgendwem wirklich geholfen ist.

90 Tage sind nicht spontan. MS hätte bei der Festlegung des Datums diesen Umstand miteinbeziehen können. (oder legt MS die Patch Day Daten schon mehr als 90 Tage im Vorraus fest? Würde mich interessieren)

 

[Nitschi66]

Finde beide Sichtweisen nachvollziehbar.
Super ist, das es unternehmen gibt, die gezielt nach sicherheitslücken suchen, diese melden und dem unternehmen 90Tage zeit geben diese zu schließen. Klar hätte man noch zwei weitere Tage warten können, doch wer versichert einem das es ZWEI Tage bleiben? es ist einfach konsequent sich an diese frist zu halten, das sollten beiden unternehmen verstehen. Natürlich hätte man das Gentleman-like anders regeln können und sich damit freunde machen können, aber das würde Google auch nicht weiter helfen.

 

[Cris-Cros]

Soweit ich weiß ist es nicht verboten, auf Mängel an oder in Konkurrenzprodukten hinzuweisen oder diese zu publizieren, auch öffentlich. Wird hierzulande doch auch gemacht.

 

[c137]

Patchday ist immer am zweiten Dienstag eines Monats. Damit ist man für die Admins optimal vorhersehbar. (Also ja, die sind weit mehr als 90 Tage im Voraus festgelegt.)

Es ist ja nicht so, dass jetzt jemand bei MS gesagt hätte "hoppla, morgen veröffentlichen die von Google was, jetzt müssen wir nen Patch machen"...

Vielleicht gibt MS Google mal die eigene Medizin mit Android zurück

 

[pumuck|]

Ob weitere Windows-Betriebssysteme betroffen sind, ist bislang nicht bekannt.

Stimmt so nicht:

I've looked at the implementation on Windows 7 and there are a few similar issues but Windows 8.1 implementation of the services does a lot more things. At least the most serious UsrClass.dat issue exists in 7.

 

[Ar-Aamon]

Da will wohl Google MS wieder einmal eins auswischen.

Google wird von Jahr zu Jahr unsympathischer.

 

[YforU]

90 Tage sind nicht spontan. MS hätte bei der Festlegung des Datums diesen Umstand miteinbeziehen können. (oder legt MS die Patch Day Daten schon mehr als 90 Tage im Vorraus fest? Würde mich interessieren)

Es ist der zweite Dienstag in jedem Monat und das seit ~2003.

 

[SoilentGruen]

Wenn man jetzt Updatezyklen von Android betrachtet.... uiuiuiuiii....

 

[Goldilox]

[edit]Hm, hier stand Mist.[/edit]

 

[Hito]

Die Lücke ist offensichtlich nicht von schlechten Eltern, da kann Microsoft ruhig ausserplanmässig updaten anstatt sich wie eine Diva öffentlich zu beschweren, bzw. sich darüber aufzuregen - das hat dem schlechten Image Microsofts bestimmt nicht gut getan...

 

[nato44]

@Xanta:
"Wir werden einen Patch veröffentlichen" und "wir brauchen zwei Tage länger" passen dann aber eben genau ins Beuteschema von Google, Druck auf die Hersteller auszuüben. Falls es dazu führt, dass die Patchentwicklung künftig schneller vorangeht, hat Google sein Ziel erreicht. Ob Microsoft darüber nun verärgert ist und das über den verlängerten Rücken der Kunden austragen möchte, ist eigentlich irrelevant.

Damit wurde eigentlich alles gesagt. ;-)

 

[AshS]

Viele Sicherheitslücken gibt es sicher nur, weil Microsoft sowieso schon ein Deal mit den US-Geheimdiensten hat.
Deswegen ist es auch gut, wen irgendwer diese Trojaner ähnlichen Programmkonstrukte auch entlarvt, man sollte hier also nicht den Boten schlagen!

Es steht jedem auch frei eine gefundene Sicherheitslücke sofort zu veröffentlichen, auf das sie jeder Hacker sofort ausnutzen kann, man muss dafür keine 90 Tage warten.

 

[serval]

Vielleicht gibt MS Google mal die eigene Medizin mit Android zurück

Exakt so seh ich das auch: Statt rumzuheulen, daß Google in Windows Lücken findet, könnte sich MS einfach die Mühe machen und bei Android oder ChromeOS nach Lücken suchen, die dann von Google binnen 90 Tagen geschlossen werden müßten.

Da hätten die User auch was von, nämlich sicherere Software.

 

[Euphoria]

Was hier teilweise für Bullshit geschrieben wird...
Google weiß genau, dass Microsoft feste Intervalle hat, die sind sicher selbst froh darüber. Vor allem die 2 Tage hätten die jetzt auch nicht umgebracht.
Wenn Microsoft schon mitgeteilt hat, dass der Patch fertig ist.

Und selbst 90 Tage sind Lichtgeschwindigkeit im Vergleich zu anderen Unternehmen, Microsoft kann nicht einfach irgendwas veröffentlichen. Alle regen sich auf, dass manchmal fehlerhafte Updates rauskommen, wenn die noch mehr Druck haben wird es nicht besser. Sicher kann man die Prozesse optimieren, aber Microsoft ist auf dem Gebiet mit Abstand mit am schnellsten. Und Windows ist im Vergleich zu Chrome oder so sehr komplex, da kann man nicht eine Lücke schließen und 5 weitere öffnen. Es muss alles getestet werden.

Google selbst schafft es bei Android teilweise Lücken über Jahre hinweg offen zu lassen.

 

[YforU]

Exakt so seh ich das auch: Statt rumzuheulen, daß Google in Windows Lücken findet, könnte sich MS einfach die Mühe machen und bei Android oder ChromeOS nach Lücken suchen, die dann von Google binnen 90 Tagen geschlossen werden müßten.

Da hätten die User auch was von, nämlich sicherere Software.

Der User hätte davon im Regelfall wenig denn Google hat bei Android zu Beginn eine katastrophale Designentscheidung getroffen von welcher man sich seit einiger Zeit auch Stück für Stück wegbewegt. Den Update-Prozess den Geräteherstellern in die Hand zu geben hat schon beim alten Windows Mobile nicht funktioniert. Die Folge war damals die Geburtsstunde der Custom Roms (XDA Dev) .

 

[Shimmy979]

Viele Sicherheitslücken gibt es sicher nur, weil Microsoft sowieso schon ein Deal mit den US-Geheimdiensten hat.

Dir ist schon klar, das JEDES US-Unternehmen GEZWUNGEN ist Backdoors für die Geheimdienste einzubauen bzw. Daten weiterzugeben.

Patchday ist nun mal seit Jahren der 2. Dienstag eines Monats, Google schadet den Nutzern mit dieser Aktion mehr als zu helfen. Jede Firma wird sich bei MS deftig beschweren, wenn mehrmals pro Monat Patches ausgerollt werden, die alle geprüft und verteilt werden müssen.

Jeder der auch nur selbst nur ein eigenes Software-Projekt hinter sich hat, weiß wie viel Zeit das Bugfixing braucht. Und wir reden hier von einem OS, mit einem Bug in der User-Verwaltung. Fixt man das ohne gründliche Tests, ist das Resultat eine größere Lücke als die gefixte.

Von daher: Schlechte Aktion von Google, die 2 Tage hätte man warten können.

Wenn ich bedenke das die Patches bei uns wohl erst um den 20. rum durch die IT ausgerollt werden, ganz toll.