News Google legt Lücke in Windows 8.1 offen, Microsoft verärgert

[MountWalker]

@ mace1978

Das ist kein machtspielchen sondern dem Umstand geschukldet, dass die Wahrtscheinlichkeit, dass die Lücke, 90 Tage nachdem sie ein Mitarbeiter welchen Unternehmens auch immer gemeldet hat, noch nicht in irgendeinem Darknetforum ausgetauscht wurde, gegen Null tendiert. Jetzt noch mit Heimlichtuerei sop zu tun, als würden nicht 90% der Leute, die wissen, wie man mit dem Ausnutzen von Lücken Geld verdient, die Lücke nicht kennen, wäre höchst fahrlässig gewesen, weil eben haufenweise Admins Systeme mit einer in einschlägigen kreisen vmtl. eh weitbekannten Lücke verwalten, die sich nur dann, wenn sie über die Lücke informiert werden, gedanken über einen Workaround machen können.

P.S.
Noch dazu in einem Fall, in dem, wie schon zweimal gesagt, der Workaround dermaßen simpel ist, dass man den Patch kaum braucht.

 

[Bogeyman]

Dem entsprechend sollten Sicherheitslücken nur dann veröffentlicht werden, wenn es nicht anders geht und nicht aus Machtspielchen.

Wenn du sie aber nicht veröffentlichst ist kein Druck vorhanden. Sicherheitslücken schließen, und da Ressourcen reinzustecken, ist rein betriebswirtschaftlich gesehen halt "nervig". Man lässt die Leute eher an neuen Dingen arbeiten denn da wird das Geld verdient. Windows hat auch eine verdammt hohe Verbreitung am Markt, selbst wenn die da bei Sicherheitslücken nix tun und das alle Kunden doof finden werden die meisten User eh nicht umsteigen können so einfach sondern werden das so hinnehmen müssen.

Man sieht es quasi überall: Gemacht wird nur das was absolut nötig ist wenn man damit keinen Umsatz erzielen kann.

Daher muss Druck da sein, besser aber noch politisch, aber da gibts halt die Lobby, daher ist man da auch net so wirklich gewillt Microsoft auf die Füße zu treten. Dann bleibt halt nur die Konkurrenz übrig

 

[Sterntaste]

Ich finde, Google handelt zu 100% korrekt.

1. sie geben den Unternehmen 90 Tage Zeit, das Problem zu lösen - das muss ausreichen. Alles andere kann man in dieser schnelllebigen Zeit auch wirklich keinem mehr verkaufen. Vielleicht sollten sie interne Prozesse optimieren oder/und umstellen, um schneller zu werden.
2. Toleranzfristen zu gewähren wäre natürlich für die betroffenen Unternehmen gern gesehen, aber auch da müsste man idealerweise im Vorfeld klar stellen, wie viel Toleranz könnte man grundsätzlich unter bestimmten Umständen gewähren. Angenommen, Google entschiede sich für drei Tage und beim nächsten Mal braucht ein Unternehmen vier Tage, wird das Gebrüll auch wieder aufkommen wegen nur eines Tages etc. pp. Daraus würde sich eine ewige Diskussion ergeben.
3. Microsoft hat ja nicht nur die festen Updatetermine. Bei besonders wichtigen Updates verlassen sie hin und wieder mal den üblichen Rahmen und schieben zwischendrin ein Update ein. Sich jetzt auf den festen Updatetag zu beziehen, finde ich unangemssen.
Wenn das Update fertig ist, sofort ausrollen, nicht lange warten. Dieses Modell der festen Updatetermine finde ich ohnehin überflüssig, auch wenn es eine gewisse feste Größe ist. Vielleicht sollte man besonders wichtige bzw. kritische Updates ohne Turnus ausrollen und weniger wichtige Dinge zu festen Terminen bereitstellen.

Letztlich darf man aber eines nicht vergessen, egal ob man nun pro Google oder pro Microsoft argumentieren möchte: irgendjemand hat den Fehler entdeckt und derjenige könnte eben nicht allein auf der Welt sein. Es gibt genug Leute, die sich regelmäßig auf die Suche nach Problemen und Lücken machen. Manches wird eben schnell publik, manches braucht seine Zeit. Ich glaube, würde wir von allen existenten Lücken wissen, die dieses und jenes Produkt hat, wir würden die ganze Sache ganz anders sehen. Vieles aber wissen wir nicht. Ist halt immer die Frage, wer weiß es und wer treibt Schindluder damit.

 

[chithanh]

Nur nicht für Google selbst, Project Zero ist allein dazu da Fremdsoftware zu durchsuchen. Und trotzdem macht man Sicherheitslücken nicht öffentlich. Es reicht diese dem Hersteller mitzuteilen, so wie es andere die sich diesem Thema widmen auch tun. Notfalls eine teilweise Veröffentlichung.

Es gibt zwei Lager, eines das wie Google auf Responsible disclosure mit mehr oder weniger strikten Fristen, und ein anderes, was die von Microsoft befürwortete Coordinated disclosure mit Warten auf die Verfügbarkeit von Patches setzt. Darüber welches der bessere Ansatz ist, kann man sich streiten. Aber der renommierte Sicherheitsexperte Bruce Schneier lässt keinen Zweifel daran erkennen, was er von Microsofts Sicherheitspolitik hält.

In the absence of regulation, software liability, or some other mechanism to make unpatched software costly for the vendor, "Patch Tuesday" is the best users are likely to get.
[...]
Microsoft is in the business of making money, and keeping users secure by patching its software is only incidental to that goal.

https://www.schneier.com/essays/archives/2006/09/quickest_patch_ever.html
Bruce Schneier geht sogar weiter als Google und sieht Full disclosure als das Mittel der Wahl an, um Softwarefirmen zu einer raschen Reaktion auf Sicherheitslücken zu bewegen.

Dein Argument mit den einen Monat weniger gefährdet hin oder her, wenn aufgrund des Druckes fehlerhafte Patches in Umlauf geraten, ist damit auch niemanden Geholfen. Oder ist dir ein schwer angreifbares Windows lieber als ein kaputtes?
[...]
Man hat echt den Eindruck die Mehrheit der Ich-kann-das-in-drei-Tagen-Experten hat noch nie Berührung mit komplexen Umgebungen gehabt oder arbeitet in kleinen 20-Mann Systemhäusern für den Gatenhändler um die Ecke. Da kann man vielleicht schnell mal zwei drei Leute abstellen, aber nicht bei Konzernen mit sechstelliger Mitarbeiterzahl, von denen jeder fest in bestimmte Projekte integriert und verplant ist.

Wie ich bereits in dem von dir zitierten Beitrag angedeutet habe: Wenn Microsoft mit tausenden von Programmierern nicht in der Lage ist, innerhalb einer angemessenen Frist ein Sicherheitsupdate bereitzustellen, dann drängt sich mir der Eindruck auf, dass die Komplexität von Windows zu groß wurde, als dass sie für Microsoft noch beherrschbar ist. In diesem Fall kann man nur davon abraten, Windows irgendwo einzusetzen wo die Sicherheit des Systems eine Rolle spielt.

 

[JoeCool]

Hallo Leute,

ich finde es richtig und gut daß Google (ich kann Google nicht leiden)
diese Windows Lücke (so wie zuvor auch schon in einem anderen Fall)
bekannt gemacht hat.
Wenn ein großes Unternehmen es nicht schafft die Lücke innerhalb
von 90 Tagen zu schließen dann hat es nichst anderes verdient.

Vorwürfe Google habe "die Sicherheit der Windwos User" gefährdet
halte ich für abwegig. Die Hat MS gefährdet indem sie eine Lücke
nicht innerhalb von 90 Tagen schließt.

Gruß, JoeCool (der aus Sicherheitsgründen auf Linux umgestiegen ist)

 

[Cardhu]

Wieso die Aufregung? Wenn 90 Tage um sind, dann sind sie um. Wenn jemand in Flensburg einen Punkt über der Grenze hat, kann er auch keine Milde erwarten. MS hätte ja den Kalender ändern lassen können, damit der Patchday früher kommt.

2Firmen und ne gesetzliche Regelung gleich setzen?
Na Prost Mahlzeit

 

[fenrir.ter]

Auch wenn ich schon länger nicht mehr als admin arbeite, so !!! wird google schon gar nicht mehr mein freund. lücken vor dem patch offenzulegen, nur um nem konkurenten eins auszuwischen und damit miliarden user zu gefährden ist einfach unterirdisch, zumal das mit dem patchday seit jahren bekannt ist, und immerhin den tag der nachtschicht (für admins) planbar macht.

mich bestärkt das nur in meinem zugegeben persöhnlichen "danke aber eben nein danke" zu google"

 

[mauorrizze]

@mace1978 @fenrir.ter @Autokiller677 @Dr. MaRV und viele andere.
Softwaretests und daraus resultierende Veröffentlichung von Sicherheitslücken sind wichtig und sorgen für MEHR Sicherheit, nicht umgekehrt!
Sorry dass ich das nochmal so "laut" hier schreibe, aber ich lese auf jeder Seite Meinungen, die nahelegen dass man Sicherheitsfehler nur veröffentlicht um damit einer Firma oder den Benutzern zu schaden. Wie in anderen Posts zu lesen gibt es verschiedene Möglichkeiten mit dem Veröffentlichen von Bugs umzugehen. In vielen Beispielen (IT-Firmen allgemein, nicht Microsoft) hat sich aber gezeigt, dass das private Mitteilen an die verantwortliche Firma spät bis garnicht zur Behebung dieser Fehler beiträgt. Das Veröffentlichen ist in erster Linie ein Druckmittel für die Securityfirma oder den Hacker um eine schnelle Behebung zu forcieren, nicht um die Nutzer zu ärgern. Dass google das Zero-Programm nicht (nur) zum Wohle der Menschheit macht, sondern damit auch eigene Interessen verfolgt kann ja sein, aber ich bin mir sehr sicher, dass kein Manager der Welt viele viele Mannstunden auf das Suchen von Sicherheitsfehlern in fremder Software aufwendet nur um Nutzer dieser zu gängeln und daraus PR-Kapital zu schlagen.
Ihr dürft gerne weiter flamen ob Google oder Microsoft böser ist, aber denkt dran, jedes mal wenn ihr schreibt dass das Veröffentlichen von Sicherheitsbugs den Endbenutzern schadet, unterstützt ihr NSA, CIA, CGHQ, und Exploit-Trader und -Käufer (auch bald BND).

 

[Autokiller677]

mauorrizze:

Du hast meinen Post nicht gelesen, ich widerspreche einer Veröffentlichung einer Lücke ja gar nicht. Alles weitere habe ich schon in meinem 1. Post gesagt, also streich mich bitte aus deiner Auflistung.

 

[chithanh]

Autokiller677:
Du gehörst auch zu denen, die wollten dass Google für Microsoft eine Ausnahme von ihrer 90-Tage-Regelung macht und auf die Verfügbarkeit eines Patches wartet. Außerdem bist du der Ansicht, dass Googles Veröffentlichung den Anwendern schadet. Insofern bist du in der Liste ganz gut aufgehoben.

2Firmen und ne gesetzliche Regelung gleich setzen?
Na Prost Mahlzeit

Sicherheitsforscher kritisieren das schon seit langem: Es gibt schlicht keine gesetzliche Regelung, die Softwarehersteller zur Reaktion auf Sicherheitslücken zwingt. Das einzige Druckmittel, das die Entdecker also haben, ist mit der Veröffentlichung der Lücke zu drohen.

 

[Magellan]

Die Ursache für eine Gefährdung der Kunden ist nicht die Veröffentlichung durch Google sondern die Sicherheitslücke selbst und die langsame Reaktion von MS.
Als ob außer Google keiner fähig wäre solche Lücken zu finden. MS tut seit eh und je so als ob Sicherheitslücken die nicht jeder DAU im Internet nachlesen kann keine Gefahr wären - wenn Google hier irgend einen Beitrag leistet dass MS Lücken schneller schließt dann schaffen sie damit weit mehr Sicherheit als Gefahr.

 

[Wolfsrabe]

Grundsätzlich sind Lücken baldmöglichst zu schließen. Bei sehr kritischen Lücken schiebt MS auch mal außerhalb des monatlichen Patch-Dienstags einen Patch rein - das haben wir alle schon gesehen. Das geht natürlich nur, wenn die Lücke auch leicht bzw. zeitnah zu schließen ist. Was MS-intern passiert, wieviele Leute sich da hinterhängen, das weiß nur MS selber.

MS nehme ich nun wirklich nicht in Schutz. Was mir aber schon wieder übel aufstößt, ist, daß Google sich hier wiedermal wie ein sicherheitsbesorgter Freund des kleinen Users auftut - aber selbst mit Sicherheitslücken zu kämpfen hat und nebenbei aktiv Userdaten sammelt. Genauso wie Google sich als OpenSource-Freund emporhebt - aber dann schleichend sein Android (Apps) zu ClosedSource umbaut - das nur mal so als Beispiel rausgegriffen.

Kurzum, bei allen Dingen, die Google in der Internettechnik voranbringt - diese beinahe ekelhaft selbstverherrlichende Heuchelei, dieses "zweigleisig fahren" ist das, was mir sauer aufstößt. Sympatisch ist das jedenfalls nicht.

 

[Crossi71]

@ User MS-Basher: Ich habe in deinem Garten den Ersatzschlüssel für dein Haus gefunden. Ich fordere dich auf diesen Mangel bis Samstag 12 Uhr zu beseitigen, ansonsten poste ich in allen asozialen Netzen, wo man den Schlüssel finden kann!

Antwort MS-Basher: Aber ich komme erst am Montag aus dem Urlaub!

Meine Antwort: Pech, nun findet die Party am Samstag Abend bei MS-Basher statt!

 

[MountWalker]

@ Crossie71

Zum abertausendsten Mal: Auch wenn Google das nicht dir als Hausbesitzer mitgeteilt hätte, wurde der Schlüssel längst beim Schlüsseldienst unter der Ladentheke vervielfacht. Man kann sowas nicht länger als 90 Tage geheim halten, und Ende im Gelände. Alles, was durch weitere Geheimhaltung erreicht worden wäre, wäre Unkenntnis von ettlichen Admins, dass jeder Hasenfurzhacker mit Darknetforenkonto eine Lücke in ihrem System kennt. Welcher Admin könnte das gut finden? Augenscheinlich nur derjenige, dem egal ist, ob sein Unternehmensnetz gekapert wird, solange er seine Hände in Unschuld waschen kann, weil die Lücke ja noch nicht auf Computerbild genannt wurde.

 

[chithanh]

Ich habe in deinem Garten den Ersatzschlüssel für dein Haus gefunden. Ich fordere dich auf diesen Mangel bis Samstag 12 Uhr zu beseitigen, ansonsten poste ich in allen asozialen Netzen, wo man den Schlüssel finden kann!

Das ist ein hinkender Vergleich. Passender wäre es zu sagen: Ich habe einen Serienfehler im Türschloss gefunden, der es jedem erlaubt, auch ohne den korrekten Schlüssel ins Haus zu kommen. Es ist unbekannt, ob diese Lücke bereits von Einbrechern genutzt wird.
Wie lange soll ich damit warten, bis ich alle Hausbesitzer (und somit auch potenzielle Einbrecher) informiere? Soll ich warten, bis der Schlosshersteller ein Update herausbringt, und solange die Hausbesitzer im Unwissen über die gefährliche Lücke lassen?

Variante 1 (Microsoft Coordinated Vulnerability Disclosure): Der Hersteller wird informiert und kann sich beliebig lange Zeit lassen, solange es keine Hinweise auf eine massenhafte Ausnutzung der Lücke in Einbrecherkreisen gibt. Details zur Lücke werden erst veröffentlicht, nachdem der Hersteller das Problem behoben hat.
Variante 2 (Google Responsible Disclosure): Wie Variante 1, nur bekommt der Hersteller eine knallharte Frist gesetzt, um das Verfahren zu beschleunigen. In der Vergangenheit hat er sich nämlich mitunter ein halbes Jahr oder länger gegönnt um tätig zu werden.
Variante 3 (Full Disclosure): Hausbesitzer werden sofort informiert und können entscheiden, wie kritisch diese Lücke für ihr System ist und gegebenenfalls zusätzliche Sicherungsmaßnahmen (z.B. weitere Schlösser) treffen, auf den Einsatz dieses speziellen Schlosses zu verzichten, oder eine Überwachungskamera installieren, um sofort zu merken, falls jemand diese Schwachstelle ausnutzt. Hausbesitzer, die gerade im Urlaub sind oder das Problem verschlafen, haben hier natürlich das Nachsehen.

 

[Bogeyman]

Hausbesitzer, die gerade im Urlaub sind oder das Problem verschlafen, haben hier natürlich das Nachsehen.

Microsoft fliegt aber nicht mit der kompletten Belegschaft für 3 Wochen inne Karibik. Auch ist Microsoft kein Mittelständisches Unternehmen dass von Weihnachten bis Neujahr einfach mal die Tür abschließt.

Man sollte sich da seiner Verantwortung bewusst sein, immerhin gehts hier auch um viel Geld bzw Schaden der angerichtet werden könnte. Und ohne Druck funktioniert sowas nunmal nicht da wir im Kapitalismus leben und sich durch die Schließung von Sicherheitslücken kein Geld verdienen lässt, ganz im Gegenteil es kostet welches.

Aus Kundensicht ist 90Tage eh schon verdammt lange und Microsoft hat diesen Zeitraum auch komplett ausnutzen wollen. Guter Kundenservice sieht definitiv anders aus.

 

[chithanh]

Ich weiß, deshalb habe ich Microsoft auch mit dem Schlosshersteller verglichen und Microsoft-Kunden mit dem Hausbesitzer.

 

[WhiteShark]

90 Tage für einen Patch sind schon verdammt viel. Darum finde ich das von Google in Ordnung.
30 Tage würden auch schon ausreichen.

Die update Politik von Microsoft ist eh ziemlich daneben. Patches haben zu kommen wenn sie fertig sind und nicht erst Wochen später an einem Patch Day.

 

[LuckyMagnum]

Auf geht's Microsoft schiesst doch bitte mal etwas gegen Android und die tolle Update Politik von Google und Smartphone Herstellern.

Das wär's mal!

 

[Sebbl2k]

irgendwie fehlt hier bei einen der blick zur relation...

jetzt kennen vielleicht 1000 hacker irgendwo die sicherheitslücke aus irgendwelchen foren und hacken vielleicht 100.000 rechner.

jetzt kommt google und veröffentlicht die sicherheitslücke 2! tage vor dem patchday und zack.. sind plötzlich 10.000 hacker scharf auf die lücke und hacken 1.000.000 rechner.

das schadet ausschließlich dem kunden und bringt rein gar nichts!

so gut kein mittelständisches unternehmen oder auch großkonzern wird auf die idee kommen wegen einer lücke und 2 oder meinetwegen auch 10 tagen die systeme zu patchen. der patchday ist fest und daran richten sich die admins und auch die dritthersteller von software, die ihre produkte ersteinmal auf verträglichkeit testen müssen.

und ganz ehrlich... den kleinen user mit seinen 1-2 rechnern wo man vielleicht 3 nacktbilder der ex und 854,63€ stehlen könnten.. wen interessiert das? abgesehen davon das sie selber schuld sind.
im grunde geht es doch um den mittelstand und die großen konzerne.. und die werden an ihrer verfahrensweise nichts ändern.

wenn die bahn erstmal still steht oder der automat kein geld spuckt (gut, die hängen ja meisterns eh nicht am internet) oder oder oder.. wegen irgendwelcher unter druck dahingerotzten updates, bringt das niemanden weiter.

ich glaube einige nehmen sich zu wichtig.. wegen sicherheit privat auf linux einsetzen? pfffff...

beste grüße von meinem vor 5 jahren aufgesetzten windows 7 rechner, der niemals befall von irgendwelchen schädlingen hatte und auch keinen bluescreen oder sowas kennt.. und grüße von chrome noch hinterher!

google hat mist gebaut..