Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties, 37.357 views •
Submitter: Rubinski

Van de in totaal 57 patches die Microsoft op patch tuesday heeft uitgerold, zijn 32 updates gebaseerd op bugmeldingen van Google-medewerkers. Vooral 'Windows-hacker' Mateusz Jurczyk heeft een groot aantal beveiligingsproblemen bij de Windows-fabrikant ingediend.

Microsoft bracht dinsdag op patch tuesday een groot aantal updates uit voor de diverse Windows-varianten, maar met 57 updates is nog geen record behaald; dat staat nog op een patchronde van 64 stuks, zo schrijft The Verge. Een groot deel van de uitgebrachte patches, veelal om beveiligingslekken te dichten, zijn gebaseerd op meldingen van derden.

Een van hen is Mateusz Jurczyk, security engineer bij Google en naar eigen zeggen een 'Windows-hacker'. Jurczyk krijgt van Microsoft credits voor maar liefst 32 patches die deze week zijn uitgerold. Bij vijf problemen kreeg Jurczyk nog hulp van collega Gynvael Coldwind. Een aantal patches hebben van Microsoft het label 'belangrijk' gekregen, een stap onder 'kritiek'.

Dat Google-medewerkers bugmeldingen indienen bij Microsoft is niet nieuw, maar een aantal van 32 is nog niet eerder voorgekomen. Bovendien heeft Google in het verleden Microsoft wel eens minder lang de tijd gegeven om een beveiligingsgat te dichten: in juni 2010 moest Microsoft hals over kop een zero-day-bug patchen nadat een Google-engineer een lek in Windows XP publiceerde, vijf dagen nadat hij het probleem bij de softwaregigant had neergelegd.

Gerelateerde content

Alle gerelateerde content (21)

Reacties (58)

Reactiefilter:-158054+132+22+30
Moderatie-faq Wijzig weergave
Er staat een link in het artikel, ik zou zeggen, klik er op, en ga tellen.
Vooral 'Windows-hacker' Mateusz Jurczyck heeft een groot aantal beveiligingsproblemen bij de Windows-fabrikant ingediend.
Verderop in het artikel staat dat hij voor 32 meldingen (alle meldingen vanuit Google) de credits heeft gekregen. Dat is dus niet "vooral" Mateusz Jurczyck, maar gewoon allemaal Mateusz Jurczyck.
Ehm 32 van de 32 (door Google gemeld) is idd 100%
Vermoedelijk heet deze man een nieuwe Fuzzing tool geschreven of zoiets en daarmee een hele set nieuwe potentiele lekken ontdekt.
Een dergelijke fuzzing tool kan Google natuurlijk dan waarschijnlijk ook gebruiken op hun eigen software zoals Google chrome.
32 van Google is wel erg veel. Dat doet me denken dat het wel erg interessant zou zijn om te weten hoeveel bugs Google nog meer gerapporteerd heeft die misschien nog niet opgelost zijn.

Het zou wel aardig zijn als Google een maandelijks rapportje uit zou geven met het hun bekende aantal beveiligingslekken in Windows, het aantal opgeloste en nieuwe lekken, gemiddelde oplostijd, etc.

Ik vermoed dat Microsoft dat niet zou waarderen, maar ik wel :)
Ik vind 32 nog meevallen in verhouding tot het aantal regels code.
Kan die man niet veel beter voor Microsoft gaat werken als hij een 'Windows' hacker is :+ ?
Wel netjes dat hij het van te voren bij Microsoft meldt en daarna alsnog in de media. Dat creert toch wat credits voor hackers, wordt er ook eens iets positiefs geschreven hen.
dekn dat google een leukere baan is.
google is erg flexibel je krijgt zelfs in de baas zijn tijd om een uur te innoveren en nieuwe producten te ontwikkelen het google complex is echt mooi en rustgevend.
nee bij google heb je het echt niet verkeerd.

mensen zulen daar dan ook niet vrijwillig snel weg gaan tenzji ze elders echt een enrome bak geld meer krijgen.
het is dat ik er niet slim genoeg voor ben maar anders zou ik daar best willen werken.
heb meestal toch wat andere ideen als anderen over hoe bepaalde dingen zouden moeten werken en google geeft je gewoon de mogelijkheid om dat te ontwikkelen en om te zien of het aanslaat.

[Reactie gewijzigd door computerjunky op 13 februari 2013 22:03]

Lijken me erg symathieke mensen daar bij Google. Nou baseer ik me op hun vele G+ accounts hoor. Dat het goed zal verdienen om die beveiligingsproblemen door te geven aan MS kan ik me ook wel voorstellen
Wat betaald MS deze Google-medewerker? Normaal worden er best fixen beloningen gegeven voor het vinden van bugs. Niet voor niets dat er mensen zijn die lopen te "bug" hunten als een mallen en er min of meer hun baan van hebben gemaakt.

[Reactie gewijzigd door madmaxnl op 13 februari 2013 19:57]

Ik zie eigenlijk iedere keer soortgelijke updates voorbij komen. Altijd wel iets met het".NET Visual Basic C++ Redistributable" verhaal. Blijkt toch een gevoelig onderdeel te zijn van Windows.

[Reactie gewijzigd door Titan_Fox op 13 februari 2013 23:17]

Waarschijnlijker blijft er dan wat hangen, als het echt dezelfde lijkt te zijn.

Ik heb wel eens handmatig wat updates van .NET weg moeten gooien, reboot (zonder te updaten) en dan pas te laten updaten, toen was 't weg. Anders dacht m'n PC elke keer bij het afsluiten te moeten updaten.
Dat .Net is een 'hell'. De executables zijn klein maar het .Net framework is echt mega. Dan nog maar te zwijgen over het versiebeheer wat MS hanteert. Heb je net even niet de juiste versie op je PC staan moet je een heel framework downloaden. Een nieuwere versie is niet compatible met een oudere versie en visaversa. Wie dat ooit bedacht heeft zouden ze meteen moeten ontslaan, heb je op een gegeven moment een stuk of vijf van de joekels van frameworks op je PC staan. En dan heb ik het nog niet eens gehad over de .Net servicepacks per versie.

Volgens mij is het hele concept van .Net mede om dit versiebeheer volledig mislukt. Als ik een programma download en het is in .Net gemaakt en ik heb het framework niet (de juiste versie niet), jammer dan zoek ik wel wat anders.
Als je een beetje met visual studio kan omgaan kan je
1) De libraries die je nodig hebt los meeverpakken zodat je helemaal geen framework nodig hebt. (is gewoon mscorlib.dll + wat jij voor jouw project nodig hebt)
2) Als je lui bent kan je extreem simpel een setup wizardje genereren met visual studio welke automatisch de juiste .NET installeerd.

Overigens is het waar dat nieuwe versies van .NET niet 'backwards compatible' zijn. In plaats daarvan hebben ze ervoor gekozen om alleen wat er is toegevoegd in de nieuwe setup te gooien, plus wat core libs, zodat als je een applicatie hebt die voor .NET 4 is gecompiled afdoende heeft aan alleen .NET 4. Je kan wel een rollup installer downloaden die alles bij zich heeft.
@fvschie : Het zijn niet exact dezelfde updates. Ik bedoelde daar mee dat ik iedere keer wel iets zag staan van "Visual Basic C++ Redistributable" Dan weer de 2008 versie, dan de 2010, dan weer een aparte x64 versie ...
Pure goodwill. :) Microsoft probeert Google al maandenlang af te zeiken om van alles en nogwat, en Google zegt nu "Ja maar wij zijn wel lievvvvv". Pure marketing. :)

Wel netjes hoor, daar niet van. Het blijft een lek dat gedicht is! Klasse.
Pure goodwill. :) Microsoft probeert Google al maandenlang af te zeiken om van alles en nogwat, en Google zegt nu "Ja maar wij zijn wel lievvvvv". Pure marketing. :)

Wel netjes hoor, daar niet van. Het blijft een lek dat gedicht is! Klasse.
Is geen marketing, welke consument lees dit nu? Google heeft geeoon baad bij een veilig OS anders wordt er ook op hun gmail accounts etc. ingebroken.
Onzin. Google heeft er gewoon flink baat bij dat Windows veilig is. Google geeft ook niet voor niets flinke beloningen aan mensen die veiligheidsproblemen in haar producten vinden. Google wil graag 100% betrouwbaar en veilig zijn.
Tuurlijk wil Google dat, maar wat heeft de veiligheid van de Google software precies te maken met problemen in de producten van Microsoft? Daar kan je Google moeilijk de schuld van geven...

Het is ook een beetje omgekeerde wereld, als Google hun producten veilig wil hebben zijn ze verplicht om bugs te melden aan Microsoft die veiligheidproblemen hebben? Dunkt mij als de omgekeerde wereld. :) Dat Google veilig wilt zijn betekent niet dat ze voor alles en iedereen alle zooi hoeven op te ruimen.
Chrome is zo onderhand een heel krachtig applicatieframework op jawel, Windows - naarmate de browser steeds meer in het onderliggende OS haakt, dan ga je vanzelf meer bugs vinden.
Zelf programmeer ik, en het klopt ook echt dat je soms door te lang naar een probleem te staren er juist helemaal niet meer uitkomt, als je dan even iets anders gaat doen, en er dan weer fris over na kunt denken, dan kom je ineens op een oplossing voor het probleem, dit zelfde is ook bij het vinden van bugs. Ook klopt het dat wanneer je iemand anders een stuk code van jou laat zien, dat deze vaak alles na vraagt hoe precies alles in elkaar steekt, dan kom je er zelf of diegene ook achter wat de bug is als je zorgvuldig met diegene de stappen doorloopt in je code.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True