News Project Zero: Bug in Windows-10-Versionen hebelt UMCI aus

[Hauro]

Für jeden Menschen der an Android arbeitet gibt es bei Google 10 weitere, die andere Dinge tun.
James Forshaw gehört definitiv zu letzteren.

Hilft aber nicht, da Android einen Konstruktionsfehler hat, da Sicherheitsupdates nicht direkt verteilt werden können und damit nicht in 90 Tagen verteilt werden können.

Und noch einmal:
Das Chinesen-Prinzip funktioniert oft nicht. Die Annahme, dass sich das Projektergebnis linear zu den eingesetzten Mitarbeitern entwickelt (Chinesen-Prinzip) ist widerlegt.

 

[Palmdale]

Was viele hier übersehen: Niemand weiß, wie lange die Lücke schon von Kriminellen ausgenutzt wird. Deshalb MUSS sie schnell geschlossen werden.

...

Es bestreitet ja keiner die Wichtigkeit, Lücken zu schließen. In der Veröffentlichung besagter Lücke ist ja die Gefahr, dass sie dann erst recht ausgenutzt wird. Patchen kann es eh nur Microsoft, Veröffentlichung hin oder her. Da also keine temporäre Umgehungslösung mit angeboten wird, dürfte die Veröffentlichung das Risiko erhöhen

 

[raekaos]

90 Tage sind vollkommen ok. ....
​

90 Tage sind ein Witz in der Entwicklung, insbesondere, wenn die Zeit von jemandem veranschlagt wird, welcher keinen Einblick in der Quellcode und damit die Abhängikeiten hat.
Es bringt auch nichts einfach mehr Entwickler darauf los zu lassen, dadurch wird es in der Regel nicht schneller fertig.

 

[der Unzensierte]

Ich finde diese 90 Tage Frist ist suboptimal. Ich bin der Meinung das da noch eine Eskalationsstufe dazwischen hilfreich wäre, quasi als Schuss vor den Bug könnte das so ablaufen: nach 90 Tagen eine Veröffentlichung das eine Sicherheitslücke gefunden und durch proof of concept verifiziert ist, nach 120 Tagen dann komplette Veröffentlichung. Ich bin mir nicht sicher ob die 90 Tage in jedem Fall genügen um zu patchen und stelle mir gerade vor es wird ein patch verteilt der dann bei einigen Konfigurationen einen BSOD macht. Das gibt auch wieder einen schönen shitstorm. Außerdem ist mir ein laufendes, ungepatchtes System lieber als ein BSOD - ich zocke allerdings auch nur damit. Bei produktiven Systemen kann ich mir vorstellen sieht die Sache anders aus.

 

[ratpertus]

90 Tage erscheinen mir schon auch knapp. Und ein wenig kann ich mir vorstellen, dass man bei Google MS auch gerne schwitzen sieht. Auf die Schnelle habe ich keine passenden Zahlen gefunden, aber ich habe mich gefragt wie lange man z.B. bei Linux braucht, bis man da größere im Kernel behoben hat. An endgültigen Lösungen für Spectre und Meltdown wird da, wenn ich das richtig im Blick habe, auch noch immer gearbeitet...

 

[Corros1on]

Ich kann beide Seiten gut verstehen, dass einerseits eine Sicherheitslücke so schnell wie möglich geschlossen wird und andererseits, dass es je nach Aufwand und Komplexität auch mal länger dauern kann bis eine Lücke geschlossen wurde!

 

[Zero_Point]

Bei Daimler läuft alle 96 Sekunden ein Sprinter vom Band, daher muss es doch auch in der Zeit möglich sein die Fahrzeug-Konstruktion zu ändern... oder auch nicht.
Die erscheinenden Änderungen belegen höchstens die kontinuierliche Arbeit an den Themen, nicht aber wie lange die Bearbeitung gedauert hat.

Abgesehen davon klingt die Aussage so, als würde es irgendwer besser machen und das ist nicht der Fall...

Ändert denn Daimler andauernd die Fahrzeugkonstruktion? Microsoft tut das mit WaaS und den zig zu supportenden Versionen.
Die Änderungen belegen den Wandel des Systems mit der daraus resultierenden Problematik der Fehleranfälligkeit und Vielfalt. Dabei sollte durch die Zwangsupdates alles einfacher werden. War eher ein Schuss in den Ofen.

Google gibt jedem 90 Tage Zeit. Inwiefern andere diese Zeit nutzen spielt keine Rolle, denn das macht das Versagen von Microsoft es nicht geschafft zu haben auch nicht besser.
90 Tage sind bei einem derart verbreiteten und somit interessanten System für Hacker verdammt viel Zeit. Wer weiß ob die diese Lücke nicht schon längst ausnutzen. Daher muss sie zwingend schnellstmöglich geschlossen werden.

Es bestreitet ja keiner die Wichtigkeit, Lücken zu schließen. In der Veröffentlichung besagter Lücke ist ja die Gefahr, dass sie dann erst recht ausgenutzt wird. Patchen kann es eh nur Microsoft, Veröffentlichung hin oder her. Da also keine temporäre Umgehungslösung mit angeboten wird, dürfte die Veröffentlichung das Risiko erhöhen

Ohne Druck würde es offenbar noch länger dauern. Zudem ist unklar ob sie nicht bereits längst ausgenutzt wird.

An endgültigen Lösungen für Spectre und Meltdown wird da, wenn ich das richtig im Blick habe, auch noch immer gearbeitet...

Da hat man offenbar auch erst im Januar angefangen und nicht bereits im Juni als die Hersteller informiert wurden.

 

[Pure Existenz]

Microsoft hat ein Quasi-Monopol und sehr viele Mitarbeiter.
Da sind 90 Tage ein guter Zeitraum.

Schaut mal auf AMD vs Intel.
AMD bekommt es immernoch hin...

 

[FranzvonAssisi]

mehr Ressourcen an das Problem setzen aber das kostet halt mal Geld und das will sich MS wohl sparen...​

Mehr Ressourcen bringen halt nicht immer ein schnelleres Ergebnis.

https://spin.atomicobject.com/2012/...dramatically-more-efficient-than-large-teams/
http://www.qsm.com/risk_02.html

 

[psYcho-edgE]

Microsoft hat ein Quasi-Monopol und sehr viele Mitarbeiter.
Da sind 90.- ein guter Zeitraum.

Schaut mal auf AMD vs Intel.
AMD bekommt es immernoch hin...

Äpfel und Birnen. Und AMD hat ca. ein Jahr an der Zen-Architektur gebastelt + x Monate Feinschliff.

 

[Sylar]

Verstehe echt nicht warum Google sowas macht und selber bei Android es nicht schafft was gegen die Fragmentierung zu machen. Sind da die Sicherheitslücken nicht so gravierend?

zB HTC U Ultra bekommt das Android 8.0 Update sagenhafte 8 Monate später, da sind diese 90 Tage ein Witz dagegen.

 

[Kasjo]

Innerhalb von 90 Tagen is meiner Meinung nach völlig in Ordnung. Wenn ein patch schneller veröffentlicht werden kann wird das auch geschehen. Windows ist aber keine Schubladen app oder n Programm sondern eben ein Betriebssystem. Jede Änderung im Code oder in einem Bereich hat nun mal auch eventuell Auswirkungen auf andere Dinge. Das darf man halt dabei nicht vergessen. Und es bringt in vielen Fällen eben nichts 20 Mann auf eine Sicherheitslücke los zulassen. Auch hier is nicht alles Parallelisierbar.

Wenn Microsoft sich weniger weniger mit Nutzer-Gängelung und unnötigen Ballast-Features beschäftigen würde, könnten sie auch in 3 Monaten ihr Betriebssystem patchen.

Und das is ebenfalls Stuss vom feinsten. Du darfst dir sicher sein das für Gängelung an Kunden eine eigene Abteilung bereitsteht. Das hat rein gar nichts mit fixen von Lücken zu tun.
Als wäre MS ein Konzern mit 20 Mitarbeitern.... tztztz

Und zu guter Letzt, Fehler können auch erst behoben werden wenn sie gefunden bzw. gemeldet wurden. Absolut fehlerfrei ist kein einziges Softwarestück da draußen.

 

[Pure Existenz]

Äpfel und Birnen. Und AMD hat ca. ein Jahr an der Zen-Architektur gebastelt + x Monate Feinschliff.

Du hast oder willst meinen Beitrag nicht verstehen.
Intel hat deutlich mehr Ressourcen. AMD ist immer noch da.

Microsoft hat im Vergleich zur nicht wirklich vorhandenen Konkurrenz noch mehr Vorsprung.
Da MUSS ein "kleiner" Bug schnell behoben werden.
Manchmal sind es auch nur paar Zahlendreher.

 

[FranzvonAssisi]

Wie aber im Artikel geschrieben, scheint der (deiner Aussage nach "kleine") Bug bzw. der Fix starke Auswirkungen / "Nebenwirkungen" zu haben. Das Verbessern der auftretenden Probleme kann dann wieder neue Probleme hervorrufen.
Bei der Komplexität, die Windows in der Hinsicht besitzt, kann ein kleiner Bug also sehr schwer zu beheben sein.

 

[Laggy.NET]

Naja bei einem Unternehmen wie MS sollten doch genügend Ressourcen da sein um es in 90Tagen zu realisieren. ist ja keine 5 Mann Abteilung

Mehr Ressourcen dafür bereitzustellen muss das ganze nicht zwangsläufig beschleunigen.
Gerade Softwareprobleme lassen sich selten durch reine Manpower lösen.

Ich halte 90 Tage auch für etwas zu knapp bemessen. Man wills schließlich auch ordentlich machen und keine neuen Lücken aufreißen. Das erfordert viel Planung und zum schluss viel Validierung, und wenn da fehler gefunden werden, erneut planung usw...

Solche lücken sind halt schnell ausgenutzt, aber sie zu stopfen bzw. zu vermeiden ist halt leider verdammt aufwändig. Wohl mindestens genauso aufwändig, wie die Lücke zu finden.


Schon irgendwie scheiße, wenn lücken schneller gefunden werden, als sie geschlossen werden.
Na ja, vielleicht entwickelt sich ja irgendwann eine Praktik, mit der sich das Problem umgehen lässt. Irgendwas richtung Sandboxing oder was weiß ich. Muss schon verdammt frustirerend sein, bei jeder neuen Funktion, sämtliche möglichen Sicherheitsaspekte mit zu bedenken, anstatt sich einfach damit zufrieden geben zu können, dass die Funktion an sich sauber und effizient funktioniert und der code das tut, was er soll.

 

[LuckyMagnum]

Zum Einen denke ich mir: "Microsoft soll in die Gänge kommen!"
Zum Anderen ist es echt kritisch, sowas einfach zu veröffentlichen.

 

[Brink_01]

Niemand sagt das Android es besser macht. Schwer zu vergleichen ist es zudem auch noch, da ein Betriebssystem für den Desktop sicherlich mehr Arbeit benötigt auch wenn sich ein Smartphone immer weniger vom Desktop unterscheidet.

Beispiel: Seit Android 8.1 gibt es einen Multitouch bug.
Seit Wochen gibt es den entsprechenden Fix aber derzeit wird immer noch getestet. Den Fix hat jemand auf xda als magisk Modul veröffentlicht.
Offiziell wird noch gewartet.

 

[biente]

90 Tage eine Information zurück zu halten ist für mich Blödsinn, sollte sofort öffentlich werden.

Nur weil Google was gefunden hat, heisst das nicht das diesen Fehler nicht schon jemand anderes ausnützt........

 

[owned_you]

Finde es selbst auch schwierig zu sagen ob 90 Tage ausreichend sind.

Absolut fehlerfrei ist kein einziges Softwarestück da draußen.

Würde für Software die gleichen Bedingungen gelten wie in anderen Industriezweigen (Inkl. Haftung und Schadensersatz) würde es die meisten Lücken erst gar nicht geben! Du könntest gar nicht so schnell schauen wie eine endeckte Lücke dann geschlossen wäre!

Aber IT ist da ja außen vor, jede Firma in einem anderen Industriezweig wäre längst pleite würde sie so arbeiten.

Da muss angesetzt werden du musst als User leicht einzufordernde Schadensersatzansprüche im Schadensfall haben, dann würde sich alles ändern ... egal ob Software oder Webseiten (mit verseuchter Werbung) Vollumfängliche Haftung für Schäden inkl. Folgeschäden!

Würde meine Qualitätssicherung so arbeiten wie die von Microsoft* wäre ich längst pleite oder sogar schon im Gefängnis! ...


* beliebige Softwareschmiede hier einsetzen

 

[chithanh]

Ich finde 90 Tage sehr großzügig. Anwender müssen über die Sicherheitssituation ihrer Systeme informiert sein um ggf. eigene Schutzmaßnahmen treffen zu können wenn der Hersteller nicht rechtzeitig reagiert.

Dass Microsoft es nicht schafft, innerhalb von 3 Monaten ein Sicherheitsproblem zu beheben, das heißt doch nur sie vertreiben ein Softwareprodukt, das für sie selbst inzwischen nicht mehr beherrschbar ist. Auf diesen Umstand sollte in aller Deutlichkeit hingewiesen werden.

Google bekommt bei Android die Lücken relativ schnell geschlossen und die Updates auf ihre Telefone verteilt. Gleiches gilt für die Hobbyfrickler von LineageOS. Nur andere Smartphone-Hersteller oft nicht, aber das liegt eher am Unwillen als am Unvermögen.