Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties, 37.309 views •
Submitter: Rubinski

Van de in totaal 57 patches die Microsoft op patch tuesday heeft uitgerold, zijn 32 updates gebaseerd op bugmeldingen van Google-medewerkers. Vooral 'Windows-hacker' Mateusz Jurczyk heeft een groot aantal beveiligingsproblemen bij de Windows-fabrikant ingediend.

Microsoft bracht dinsdag op patch tuesday een groot aantal updates uit voor de diverse Windows-varianten, maar met 57 updates is nog geen record behaald; dat staat nog op een patchronde van 64 stuks, zo schrijft The Verge. Een groot deel van de uitgebrachte patches, veelal om beveiligingslekken te dichten, zijn gebaseerd op meldingen van derden.

Een van hen is Mateusz Jurczyk, security engineer bij Google en naar eigen zeggen een 'Windows-hacker'. Jurczyk krijgt van Microsoft credits voor maar liefst 32 patches die deze week zijn uitgerold. Bij vijf problemen kreeg Jurczyk nog hulp van collega Gynvael Coldwind. Een aantal patches hebben van Microsoft het label 'belangrijk' gekregen, een stap onder 'kritiek'.

Dat Google-medewerkers bugmeldingen indienen bij Microsoft is niet nieuw, maar een aantal van 32 is nog niet eerder voorgekomen. Bovendien heeft Google in het verleden Microsoft wel eens minder lang de tijd gegeven om een beveiligingsgat te dichten: in juni 2010 moest Microsoft hals over kop een zero-day-bug patchen nadat een Google-engineer een lek in Windows XP publiceerde, vijf dagen nadat hij het probleem bij de softwaregigant had neergelegd.

Reacties (58)

Vermoedelijk heet deze man een nieuwe Fuzzing tool geschreven of zoiets en daarmee een hele set nieuwe potentiele lekken ontdekt.
Een dergelijke fuzzing tool kan Google natuurlijk dan waarschijnlijk ook gebruiken op hun eigen software zoals Google chrome.
Zelf programmeer ik, en het klopt ook echt dat je soms door te lang naar een probleem te staren er juist helemaal niet meer uitkomt, als je dan even iets anders gaat doen, en er dan weer fris over na kunt denken, dan kom je ineens op een oplossing voor het probleem, dit zelfde is ook bij het vinden van bugs. Ook klopt het dat wanneer je iemand anders een stuk code van jou laat zien, dat deze vaak alles na vraagt hoe precies alles in elkaar steekt, dan kom je er zelf of diegene ook achter wat de bug is als je zorgvuldig met diegene de stappen doorloopt in je code.
Dit is iets van alle tijden. Meer dan 30 jaar geleden kreeg ik van mijn toenmalige leermeester te horen: "There's always one more bug." (Lubarsky`s law of cybernetic entomology)
Van de in totaal 57 patches die Microsoft op patch tuesday heeft uitgerold, zijn 32 updates gebaseerd op bugmeldingen van Google-medewerkers.
Jurczyk krijgt van Microsoft credits voor maar liefst 32 patches die deze week zijn uitgerold.
Met andere woorden: alle Google-meldingen kwamen van Juczyk..?
[Zeikmode]
Juiste spelling van de naam is Mateusz Jurczyk
[/Zeikmode]
32 van Google is wel erg veel. Dat doet me denken dat het wel erg interessant zou zijn om te weten hoeveel bugs Google nog meer gerapporteerd heeft die misschien nog niet opgelost zijn.

Het zou wel aardig zijn als Google een maandelijks rapportje uit zou geven met het hun bekende aantal beveiligingslekken in Windows, het aantal opgeloste en nieuwe lekken, gemiddelde oplostijd, etc.

Ik vermoed dat Microsoft dat niet zou waarderen, maar ik wel :)
Ik vind 32 nog meevallen in verhouding tot het aantal regels code.
Er staat een link in het artikel, ik zou zeggen, klik er op, en ga tellen.
Bovendien heeft Google in het verleden Microsoft wel eens minder lang de tijd gegeven om een beveiligingsgat te dichten: in juni 2010 moest Microsoft hals over kop een zero-day-bug patchen nadat een Google-engineer een lek in Windows XP publiceerde, vijf dagen nadat hij het probleem bij de softwaregigant had neergelegd.
Wat is dat nou weer voor riool-journalistiek?

De ingenieur in kwestie (Tavis Ormandy) had reden om aan te nemen dat de bug reeds actief misbruikt werkt. Hij post een full disclosure op seclists.org met daarbij de instructies om het te voorkomen en een onofficiele patch om het op te lossen. Bovendien geeft hij aan dat de communicatie vanuit Microsoft te wensen over laat.
http://seclists.org/fulldisclosure/2010/Jun/205
Bovendien geeft hij aan dat het om een persoonlijk project gaat, waar de werkgever buiten staat.
https://twitter.com/taviso/status/15887290335

Ik snap dat Microsoft een goede klant is, maar deze sneer naar Google is onverdiend. Zeker in het kader van het echte artikel.
Het aardige is dat Microsoft ook een van de grotere contributeurs aan de Linux kernel is, die Google weer gebruikt in ChromeOS en Android. Iedereen helpt elkaar...

[Reactie gewijzigd door Dreamvoid op 13 februari 2013 21:43]

MS is niet voor niets contributeur, zij heeft ook algoritmes 'geleend' uit o.s.s., maar dat is moeilijk aan te tonen bij closed source software.
Bovendien is Android voor MS lucratief en zetten ze de concurrentie ook een hak. Het is dus niet vanuit een filantropisch motief dat zij bijdragen levert aan Linux.
maar dat is moeilijk aan te tonen bij closed source software.
Microsoft stelt de source idd niet beschikbaar aan iedereen, maar het is ook weer geen totaal geheim. Allerlei partijen hebben toegang gekregen tot de source, oa overheden, rechtbanken en partners die de licensievoorwaarden getekend hebben. Als daar werkelijk open source code in zit, dan is dat vrij makkelijk aan te tonen.

[Reactie gewijzigd door Dreamvoid op 14 februari 2013 01:16]

jep, heb je ook gekeken waarvoor? voornamelijk hyper v van jawel ms ;)

bij google mogen ze iets van 22 procent vande baas zijn tijd besteden voor zichzelf. 1 van de makers van Unix werkt er ook overigens.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True