Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties, 37.393 views •
Submitter: Rubinski

Van de in totaal 57 patches die Microsoft op patch tuesday heeft uitgerold, zijn 32 updates gebaseerd op bugmeldingen van Google-medewerkers. Vooral 'Windows-hacker' Mateusz Jurczyk heeft een groot aantal beveiligingsproblemen bij de Windows-fabrikant ingediend.

Microsoft bracht dinsdag op patch tuesday een groot aantal updates uit voor de diverse Windows-varianten, maar met 57 updates is nog geen record behaald; dat staat nog op een patchronde van 64 stuks, zo schrijft The Verge. Een groot deel van de uitgebrachte patches, veelal om beveiligingslekken te dichten, zijn gebaseerd op meldingen van derden.

Een van hen is Mateusz Jurczyk, security engineer bij Google en naar eigen zeggen een 'Windows-hacker'. Jurczyk krijgt van Microsoft credits voor maar liefst 32 patches die deze week zijn uitgerold. Bij vijf problemen kreeg Jurczyk nog hulp van collega Gynvael Coldwind. Een aantal patches hebben van Microsoft het label 'belangrijk' gekregen, een stap onder 'kritiek'.

Dat Google-medewerkers bugmeldingen indienen bij Microsoft is niet nieuw, maar een aantal van 32 is nog niet eerder voorgekomen. Bovendien heeft Google in het verleden Microsoft wel eens minder lang de tijd gegeven om een beveiligingsgat te dichten: in juni 2010 moest Microsoft hals over kop een zero-day-bug patchen nadat een Google-engineer een lek in Windows XP publiceerde, vijf dagen nadat hij het probleem bij de softwaregigant had neergelegd.

Gerelateerde content

Alle gerelateerde content (21)

Reacties (58)

Reactiefilter:-158054+132+22+30
Moderatie-faq Wijzig weergave
Als je een beetje met visual studio kan omgaan kan je
1) De libraries die je nodig hebt los meeverpakken zodat je helemaal geen framework nodig hebt. (is gewoon mscorlib.dll + wat jij voor jouw project nodig hebt)
2) Als je lui bent kan je extreem simpel een setup wizardje genereren met visual studio welke automatisch de juiste .NET installeerd.

Overigens is het waar dat nieuwe versies van .NET niet 'backwards compatible' zijn. In plaats daarvan hebben ze ervoor gekozen om alleen wat er is toegevoegd in de nieuwe setup te gooien, plus wat core libs, zodat als je een applicatie hebt die voor .NET 4 is gecompiled afdoende heeft aan alleen .NET 4. Je kan wel een rollup installer downloaden die alles bij zich heeft.
Tuurlijk wil Google dat, maar wat heeft de veiligheid van de Google software precies te maken met problemen in de producten van Microsoft? Daar kan je Google moeilijk de schuld van geven...

Het is ook een beetje omgekeerde wereld, als Google hun producten veilig wil hebben zijn ze verplicht om bugs te melden aan Microsoft die veiligheidproblemen hebben? Dunkt mij als de omgekeerde wereld. :) Dat Google veilig wilt zijn betekent niet dat ze voor alles en iedereen alle zooi hoeven op te ruimen.
Omdat ze dit waarschijnlijk in hun 20% tijd doen.
Nee, dit is echt zijn fulltime baan.
MS Nederland werkt dan ook niet aan Windows.
Dat .Net is een 'hell'. De executables zijn klein maar het .Net framework is echt mega. Dan nog maar te zwijgen over het versiebeheer wat MS hanteert. Heb je net even niet de juiste versie op je PC staan moet je een heel framework downloaden. Een nieuwere versie is niet compatible met een oudere versie en visaversa. Wie dat ooit bedacht heeft zouden ze meteen moeten ontslaan, heb je op een gegeven moment een stuk of vijf van de joekels van frameworks op je PC staan. En dan heb ik het nog niet eens gehad over de .Net servicepacks per versie.

Volgens mij is het hele concept van .Net mede om dit versiebeheer volledig mislukt. Als ik een programma download en het is in .Net gemaakt en ik heb het framework niet (de juiste versie niet), jammer dan zoek ik wel wat anders.
Vermoedelijk heet deze man een nieuwe Fuzzing tool geschreven of zoiets en daarmee een hele set nieuwe potentiele lekken ontdekt.
Een dergelijke fuzzing tool kan Google natuurlijk dan waarschijnlijk ook gebruiken op hun eigen software zoals Google chrome.
Omdat ze dit waarschijnlijk in hun 20% tijd doen. Het blijft een fascinerend idee: je werknemers 1 dag in de week de vrijheid geven om te doen wat ze willen (en alles wat ze maken is van Google). Ach ja, het zou me ook niks verbazen als de meeste van deze bugs voortvloeien uit security patches die Google in chrome moet doen en die ze liever in het onderliggende OS gefixed zien.
Ik vind 32 nog meevallen in verhouding tot het aantal regels code.
MS is niet voor niets contributeur, zij heeft ook algoritmes 'geleend' uit o.s.s., maar dat is moeilijk aan te tonen bij closed source software.
Bovendien is Android voor MS lucratief en zetten ze de concurrentie ook een hak. Het is dus niet vanuit een filantropisch motief dat zij bijdragen levert aan Linux.
@fvschie : Het zijn niet exact dezelfde updates. Ik bedoelde daar mee dat ik iedere keer wel iets zag staan van "Visual Basic C++ Redistributable" Dan weer de 2008 versie, dan de 2010, dan weer een aparte x64 versie ...
Waarschijnlijker blijft er dan wat hangen, als het echt dezelfde lijkt te zijn.

Ik heb wel eens handmatig wat updates van .NET weg moeten gooien, reboot (zonder te updaten) en dan pas te laten updaten, toen was 't weg. Anders dacht m'n PC elke keer bij het afsluiten te moeten updaten.
32 van Google is wel erg veel. Dat doet me denken dat het wel erg interessant zou zijn om te weten hoeveel bugs Google nog meer gerapporteerd heeft die misschien nog niet opgelost zijn.

Het zou wel aardig zijn als Google een maandelijks rapportje uit zou geven met het hun bekende aantal beveiligingslekken in Windows, het aantal opgeloste en nieuwe lekken, gemiddelde oplostijd, etc.

Ik vermoed dat Microsoft dat niet zou waarderen, maar ik wel :)
dekn dat google een leukere baan is.
google is erg flexibel je krijgt zelfs in de baas zijn tijd om een uur te innoveren en nieuwe producten te ontwikkelen het google complex is echt mooi en rustgevend.
nee bij google heb je het echt niet verkeerd.

mensen zulen daar dan ook niet vrijwillig snel weg gaan tenzji ze elders echt een enrome bak geld meer krijgen.
het is dat ik er niet slim genoeg voor ben maar anders zou ik daar best willen werken.
heb meestal toch wat andere ideen als anderen over hoe bepaalde dingen zouden moeten werken en google geeft je gewoon de mogelijkheid om dat te ontwikkelen en om te zien of het aanslaat.

[Reactie gewijzigd door computerjunky op 13 februari 2013 22:03]

Kan die man niet veel beter voor Microsoft gaat werken als hij een 'Windows' hacker is :+ ?
Wel netjes dat hij het van te voren bij Microsoft meldt en daarna alsnog in de media. Dat creert toch wat credits voor hackers, wordt er ook eens iets positiefs geschreven hen.
Pure goodwill. :) Microsoft probeert Google al maandenlang af te zeiken om van alles en nogwat, en Google zegt nu "Ja maar wij zijn wel lievvvvv". Pure marketing. :)

Wel netjes hoor, daar niet van. Het blijft een lek dat gedicht is! Klasse.
Is geen marketing, welke consument lees dit nu? Google heeft geeoon baad bij een veilig OS anders wordt er ook op hun gmail accounts etc. ingebroken.
Waarom in de baas zijn tijd?

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True