Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 58, views: 37.193 •
Submitter: Rubinski

Van de in totaal 57 patches die Microsoft op patch tuesday heeft uitgerold, zijn 32 updates gebaseerd op bugmeldingen van Google-medewerkers. Vooral 'Windows-hacker' Mateusz Jurczyk heeft een groot aantal beveiligingsproblemen bij de Windows-fabrikant ingediend.

Microsoft bracht dinsdag op patch tuesday een groot aantal updates uit voor de diverse Windows-varianten, maar met 57 updates is nog geen record behaald; dat staat nog op een patchronde van 64 stuks, zo schrijft The Verge. Een groot deel van de uitgebrachte patches, veelal om beveiligingslekken te dichten, zijn gebaseerd op meldingen van derden.

Een van hen is Mateusz Jurczyk, security engineer bij Google en naar eigen zeggen een 'Windows-hacker'. Jurczyk krijgt van Microsoft credits voor maar liefst 32 patches die deze week zijn uitgerold. Bij vijf problemen kreeg Jurczyk nog hulp van collega Gynvael Coldwind. Een aantal patches hebben van Microsoft het label 'belangrijk' gekregen, een stap onder 'kritiek'.

Dat Google-medewerkers bugmeldingen indienen bij Microsoft is niet nieuw, maar een aantal van 32 is nog niet eerder voorgekomen. Bovendien heeft Google in het verleden Microsoft wel eens minder lang de tijd gegeven om een beveiligingsgat te dichten: in juni 2010 moest Microsoft hals over kop een zero-day-bug patchen nadat een Google-engineer een lek in Windows XP publiceerde, vijf dagen nadat hij het probleem bij de softwaregigant had neergelegd.

Reacties (58)

Wat betaald MS deze Google-medewerker? Normaal worden er best fixen beloningen gegeven voor het vinden van bugs. Niet voor niets dat er mensen zijn die lopen te "bug" hunten als een mallen en er min of meer hun baan van hebben gemaakt.

[Reactie gewijzigd door madmaxnl op 13 februari 2013 19:57]

Ik zie eigenlijk iedere keer soortgelijke updates voorbij komen. Altijd wel iets met het".NET Visual Basic C++ Redistributable" verhaal. Blijkt toch een gevoelig onderdeel te zijn van Windows.

[Reactie gewijzigd door Titan_Fox op 13 februari 2013 23:17]

Waarschijnlijker blijft er dan wat hangen, als het echt dezelfde lijkt te zijn.

Ik heb wel eens handmatig wat updates van .NET weg moeten gooien, reboot (zonder te updaten) en dan pas te laten updaten, toen was 't weg. Anders dacht m'n PC elke keer bij het afsluiten te moeten updaten.
@fvschie : Het zijn niet exact dezelfde updates. Ik bedoelde daar mee dat ik iedere keer wel iets zag staan van "Visual Basic C++ Redistributable" Dan weer de 2008 versie, dan de 2010, dan weer een aparte x64 versie ...
Dat .Net is een 'hell'. De executables zijn klein maar het .Net framework is echt mega. Dan nog maar te zwijgen over het versiebeheer wat MS hanteert. Heb je net even niet de juiste versie op je PC staan moet je een heel framework downloaden. Een nieuwere versie is niet compatible met een oudere versie en visaversa. Wie dat ooit bedacht heeft zouden ze meteen moeten ontslaan, heb je op een gegeven moment een stuk of vijf van de joekels van frameworks op je PC staan. En dan heb ik het nog niet eens gehad over de .Net servicepacks per versie.

Volgens mij is het hele concept van .Net mede om dit versiebeheer volledig mislukt. Als ik een programma download en het is in .Net gemaakt en ik heb het framework niet (de juiste versie niet), jammer dan zoek ik wel wat anders.
Als je een beetje met visual studio kan omgaan kan je
1) De libraries die je nodig hebt los meeverpakken zodat je helemaal geen framework nodig hebt. (is gewoon mscorlib.dll + wat jij voor jouw project nodig hebt)
2) Als je lui bent kan je extreem simpel een setup wizardje genereren met visual studio welke automatisch de juiste .NET installeerd.

Overigens is het waar dat nieuwe versies van .NET niet 'backwards compatible' zijn. In plaats daarvan hebben ze ervoor gekozen om alleen wat er is toegevoegd in de nieuwe setup te gooien, plus wat core libs, zodat als je een applicatie hebt die voor .NET 4 is gecompiled afdoende heeft aan alleen .NET 4. Je kan wel een rollup installer downloaden die alles bij zich heeft.
En zo hoort het, con-collega's zijn ook collega's. En als je een beveiligingslek ontdekt, is dit natuurlijk een kleine moeite om dit door te geven.
Dit nieuws is natuurlijk ook PR voor Google. Het klinkt niet echt lekker als een "concurrent" van jouw heel veel bugs uit je software haalt en dat naar buiten komt.
Aan de andere kant is dit net zo hard weer PR voor Microsoft. Ze erkennen hiermee de expertise van andere bedrijven en gaan hier ook serieus mee om.
In de baas z'n tijd werken voor een ander(lees: Microsoft) ;)

Of gewoon lekker bijbeunen...

Goed bezig in ieder geval!

[Reactie gewijzigd door aprinsen op 13 februari 2013 20:27]

Waarom in de baas zijn tijd?
Omdat ze dit waarschijnlijk in hun 20% tijd doen. Het blijft een fascinerend idee: je werknemers 1 dag in de week de vrijheid geven om te doen wat ze willen (en alles wat ze maken is van Google). Ach ja, het zou me ook niks verbazen als de meeste van deze bugs voortvloeien uit security patches die Google in chrome moet doen en die ze liever in het onderliggende OS gefixed zien.
Die 20% tijd is tijd die ze mogen gebruiken om aan eigen ideŽen en projecten te werken, maar nog steeds in dienst van Google. Zo is bijvoorbeeld Latitude ontstaan, en ook Google Sky, AdSense, ...

Eigenlijk krijg je de "toestemming" om 20% van je (baas zijn) tijd aan onbelangrijke dingen te spenderen. :) Niet-goedgekeurde ontwerpen, voor dom aangenomen ideŽen, probeersels, .... whatever.
De "projecten" die in de 20% worden uitgevoerd zijn ook allemaal open voor iedereen, zodat mensen kunnen forken, verbeteren, optimaliseren (van elkaar). Dit itt tot pakweg Apple waar de ene nog niet weet waar zijn buur mee bezig is.
Omdat ze dit waarschijnlijk in hun 20% tijd doen.
Nee, dit is echt zijn fulltime baan.
Ach, minder tijd spenderen met herstellen van kapotte Windowsen is meer tijd die gespendeerd kan worden op het internet, zal Google wel denken ;)
Het blijft raar dat MS niet zelf dit soort engineers in huis heeft die lekken kunnen opsporen.
Er zullen helaas altijd lekken blijven die over het hoofd worden gezien. Gelukkig worden deze dan achteraf gepached.
Is dat niet een soort woordblindheid? Je bent er te veel mee bezig, dus kunt het niet meer van alle kanten bekijken.
Ik kreeg laatst een stuk binnen (regelgeving) en pakte achter elkaar foutjes er uit terwijl er letterlijk meer dan 100 mensen naar hadden gekeken.
Absoluut! Code owning is een ding, maar op een gegeven moment zie je door de bomen het bos niet meer. Bij ons in het team is het daarom heel normaal dat na een bepaalde tijd, andere ontwikkelaars bugs fixen in een module die eigenlijk door iemand anders geschreven is.
Dat klopt. Op mijn werk zijn de afgelopen jaren autisten op dit soort opsporingswerk gezet. Ze zijn gekend om zulke bugs te vinden waaraan anderen nooit zouden denken.
Op zich wel, maar dan zouden ze al mensen moeten nemen die totaal niet zijn betrokken geweest bij de development. Ik denk dat jij je eigen fouten moeilijker gaat vinden dan de fouten van iemand anders.
Ms heeft een heel team dat zich bezig houd met security reviews. Nu er zijn altijd zaken die over het hoofd worden gezien.
Het blijft raar dat MS niet zelf dit soort engineers in huis heeft die lekken kunnen opsporen.
Hoe kom je na het lezen van dit artikel tot deze conclusie? :?
Er zijn heel wat problemen die zich maar de kop op steken in bepaalde omstandigheden. Je kan dan ook niet alles testen.

Zelf zijnbanale dingen maar sommige van die security leaks zijn dan dingen waar je als gewone gebruiker niet eens aan denkt om te proberen,meestal om de nodige kennis, niet aanwezig.
Die zijn er natuurlijk wel, het zijn geen imbecielen bij Microsoft. Het is wel opvallend dat de verhouding zo scheef is. Bovendien vraag ik me af of Microsoft zo goed is om deze moeite te steken in de producten van Google (ik neem aan dat zeker een flink deel Chrome gebruikt, ook bij MS).
MS Nederland werkt dan ook niet aan Windows.
peer-reviewing is niet alleen in de IT-wereld een fenomeen, het wordt ook veel in de wetenschappelijke middens gedaan, meer nog: het wordt daar zelfs quasi geŽist
@Bones

Een engineer die niet betrokken is geweest bij het ontwikkelen van een product, in dit geval het Windows OS, zal altijd kritischer kijken naar het product. En vaak kijkt hij/zij er ook op een hele andere manier naar.

Met 'betrokken bij het ontwikkelen' bedoel ik voor alle duidelijkheid, ergens in het proces betrokken zijn geweest bij het ontwerpen, maken of testen van het product. Oftewel, iemand die niet betrokken is geweest bij het ontwikkelen, maakt alleen maar gebruik van het product zolang als het op dat moment is.
Wanneer je als op ťťn of andere manier betrokken bent bij het ontwikkelen van het product slijt er toch een bepaalde manier van gebruiken in en daardoor zullen er altijd lekken zijn die je over het hoofd ziet. Je komt ze simpel weg niet tegen omdat je niet in de gaten hebt dat je het product ook op andere manieren kan misbruiken gebruiken.

Zolang je dus alleen maar uitgaat van eigen engineers, en de expertise van derden niet mee neemt in je ontwikkelproces, zullen er veel meer bugs in je product blijven zitten. Microsoft zal dit soort engineers dan ook heus wel in huis hebben, ze weten alleen dat ze ook derden moeten betrekken in het proces om op die manier tot betere software te komen.

[Reactie gewijzigd door Soco op 14 februari 2013 08:21]

Pure goodwill. :) Microsoft probeert Google al maandenlang af te zeiken om van alles en nogwat, en Google zegt nu "Ja maar wij zijn wel lievvvvv". Pure marketing. :)

Wel netjes hoor, daar niet van. Het blijft een lek dat gedicht is! Klasse.
Onzin. Google heeft er gewoon flink baat bij dat Windows veilig is. Google geeft ook niet voor niets flinke beloningen aan mensen die veiligheidsproblemen in haar producten vinden. Google wil graag 100% betrouwbaar en veilig zijn.
Chrome is zo onderhand een heel krachtig applicatieframework op jawel, Windows - naarmate de browser steeds meer in het onderliggende OS haakt, dan ga je vanzelf meer bugs vinden.
Tuurlijk wil Google dat, maar wat heeft de veiligheid van de Google software precies te maken met problemen in de producten van Microsoft? Daar kan je Google moeilijk de schuld van geven...

Het is ook een beetje omgekeerde wereld, als Google hun producten veilig wil hebben zijn ze verplicht om bugs te melden aan Microsoft die veiligheidproblemen hebben? Dunkt mij als de omgekeerde wereld. :) Dat Google veilig wilt zijn betekent niet dat ze voor alles en iedereen alle zooi hoeven op te ruimen.
Pure goodwill. :) Microsoft probeert Google al maandenlang af te zeiken om van alles en nogwat, en Google zegt nu "Ja maar wij zijn wel lievvvvv". Pure marketing. :)

Wel netjes hoor, daar niet van. Het blijft een lek dat gedicht is! Klasse.
Is geen marketing, welke consument lees dit nu? Google heeft geeoon baad bij een veilig OS anders wordt er ook op hun gmail accounts etc. ingebroken.
Goodwill? Er zit ook een verborgen dreigement in: "Kijk eens concurrent, hoeveel bugs wij in jouw product weten te vinden. Wees maar lief voor ons anders publiceren wij de volgende keer onze vondsten op een minder vriendelijke manier."

[Reactie gewijzigd door Kalief op 13 februari 2013 20:04]

Natuurlijk is dit gewoon goodwill. Dit nieuws staat op veel tech sites, hierdoor krijgt Google weer een beter imago. Google is afhankelijk van dit imago. Als mensen negatief denken over Google zijn mensen minder snel geneigd hun gegevens aan Google te overhandigen, al dan niet indirect.
Kom op dames en heren, niet elk nieuwsberichtje is een gecalculeerd media-spektakel.

Dit soort berichten is van alle dag. We hebben allemaal te maken met dit soort OS-en dus het is voor iedereen een voordeel dat die bugvrij zijn. Verder, maar dat is al eerder genoemd, de peer-review is een veelgebruikt instrument en daar is niets raars aan... en voegt ook geen soap-gehalte aan dit nieuws toe.
Lijken me erg symathieke mensen daar bij Google. Nou baseer ik me op hun vele G+ accounts hoor. Dat het goed zal verdienen om die beveiligingsproblemen door te geven aan MS kan ik me ook wel voorstellen
Vooral 'Windows-hacker' Mateusz Jurczyck heeft een groot aantal beveiligingsproblemen bij de Windows-fabrikant ingediend.
Verderop in het artikel staat dat hij voor 32 meldingen (alle meldingen vanuit Google) de credits heeft gekregen. Dat is dus niet "vooral" Mateusz Jurczyck, maar gewoon allemaal Mateusz Jurczyck.
Ehm 32 van de 32 (door Google gemeld) is idd 100%
Kan die man niet veel beter voor Microsoft gaat werken als hij een 'Windows' hacker is :+ ?
Wel netjes dat hij het van te voren bij Microsoft meldt en daarna alsnog in de media. Dat creert toch wat credits voor hackers, wordt er ook eens iets positiefs geschreven hen.
dekn dat google een leukere baan is.
google is erg flexibel je krijgt zelfs in de baas zijn tijd om een uur te innoveren en nieuwe producten te ontwikkelen het google complex is echt mooi en rustgevend.
nee bij google heb je het echt niet verkeerd.

mensen zulen daar dan ook niet vrijwillig snel weg gaan tenzji ze elders echt een enrome bak geld meer krijgen.
het is dat ik er niet slim genoeg voor ben maar anders zou ik daar best willen werken.
heb meestal toch wat andere ideen als anderen over hoe bepaalde dingen zouden moeten werken en google geeft je gewoon de mogelijkheid om dat te ontwikkelen en om te zien of het aanslaat.

[Reactie gewijzigd door computerjunky op 13 februari 2013 22:03]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneMobiele besturingssystemen

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013