Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties, 37.361 views •
Submitter: Rubinski

Van de in totaal 57 patches die Microsoft op patch tuesday heeft uitgerold, zijn 32 updates gebaseerd op bugmeldingen van Google-medewerkers. Vooral 'Windows-hacker' Mateusz Jurczyk heeft een groot aantal beveiligingsproblemen bij de Windows-fabrikant ingediend.

Microsoft bracht dinsdag op patch tuesday een groot aantal updates uit voor de diverse Windows-varianten, maar met 57 updates is nog geen record behaald; dat staat nog op een patchronde van 64 stuks, zo schrijft The Verge. Een groot deel van de uitgebrachte patches, veelal om beveiligingslekken te dichten, zijn gebaseerd op meldingen van derden.

Een van hen is Mateusz Jurczyk, security engineer bij Google en naar eigen zeggen een 'Windows-hacker'. Jurczyk krijgt van Microsoft credits voor maar liefst 32 patches die deze week zijn uitgerold. Bij vijf problemen kreeg Jurczyk nog hulp van collega Gynvael Coldwind. Een aantal patches hebben van Microsoft het label 'belangrijk' gekregen, een stap onder 'kritiek'.

Dat Google-medewerkers bugmeldingen indienen bij Microsoft is niet nieuw, maar een aantal van 32 is nog niet eerder voorgekomen. Bovendien heeft Google in het verleden Microsoft wel eens minder lang de tijd gegeven om een beveiligingsgat te dichten: in juni 2010 moest Microsoft hals over kop een zero-day-bug patchen nadat een Google-engineer een lek in Windows XP publiceerde, vijf dagen nadat hij het probleem bij de softwaregigant had neergelegd.

Gerelateerde content

Alle gerelateerde content (21)

Reacties (58)

Reactiefilter:-158054+132+22+30
Moderatie-faq Wijzig weergave
Bovendien heeft Google in het verleden Microsoft wel eens minder lang de tijd gegeven om een beveiligingsgat te dichten: in juni 2010 moest Microsoft hals over kop een zero-day-bug patchen nadat een Google-engineer een lek in Windows XP publiceerde, vijf dagen nadat hij het probleem bij de softwaregigant had neergelegd.
Wat is dat nou weer voor riool-journalistiek?

De ingenieur in kwestie (Tavis Ormandy) had reden om aan te nemen dat de bug reeds actief misbruikt werkt. Hij post een full disclosure op seclists.org met daarbij de instructies om het te voorkomen en een onofficiele patch om het op te lossen. Bovendien geeft hij aan dat de communicatie vanuit Microsoft te wensen over laat.
http://seclists.org/fulldisclosure/2010/Jun/205
Bovendien geeft hij aan dat het om een persoonlijk project gaat, waar de werkgever buiten staat.
https://twitter.com/taviso/status/15887290335

Ik snap dat Microsoft een goede klant is, maar deze sneer naar Google is onverdiend. Zeker in het kader van het echte artikel.
Het blijft raar dat MS niet zelf dit soort engineers in huis heeft die lekken kunnen opsporen.
@Bones

Een engineer die niet betrokken is geweest bij het ontwikkelen van een product, in dit geval het Windows OS, zal altijd kritischer kijken naar het product. En vaak kijkt hij/zij er ook op een hele andere manier naar.

Met 'betrokken bij het ontwikkelen' bedoel ik voor alle duidelijkheid, ergens in het proces betrokken zijn geweest bij het ontwerpen, maken of testen van het product. Oftewel, iemand die niet betrokken is geweest bij het ontwikkelen, maakt alleen maar gebruik van het product zolang als het op dat moment is.
Wanneer je als op ťťn of andere manier betrokken bent bij het ontwikkelen van het product slijt er toch een bepaalde manier van gebruiken in en daardoor zullen er altijd lekken zijn die je over het hoofd ziet. Je komt ze simpel weg niet tegen omdat je niet in de gaten hebt dat je het product ook op andere manieren kan misbruiken gebruiken.

Zolang je dus alleen maar uitgaat van eigen engineers, en de expertise van derden niet mee neemt in je ontwikkelproces, zullen er veel meer bugs in je product blijven zitten. Microsoft zal dit soort engineers dan ook heus wel in huis hebben, ze weten alleen dat ze ook derden moeten betrekken in het proces om op die manier tot betere software te komen.

[Reactie gewijzigd door Soco op 14 februari 2013 08:21]

Is dat niet een soort woordblindheid? Je bent er te veel mee bezig, dus kunt het niet meer van alle kanten bekijken.
Ik kreeg laatst een stuk binnen (regelgeving) en pakte achter elkaar foutjes er uit terwijl er letterlijk meer dan 100 mensen naar hadden gekeken.
Absoluut! Code owning is een ding, maar op een gegeven moment zie je door de bomen het bos niet meer. Bij ons in het team is het daarom heel normaal dat na een bepaalde tijd, andere ontwikkelaars bugs fixen in een module die eigenlijk door iemand anders geschreven is.
Dat klopt. Op mijn werk zijn de afgelopen jaren autisten op dit soort opsporingswerk gezet. Ze zijn gekend om zulke bugs te vinden waaraan anderen nooit zouden denken.
Er zullen helaas altijd lekken blijven die over het hoofd worden gezien. Gelukkig worden deze dan achteraf gepached.
Op zich wel, maar dan zouden ze al mensen moeten nemen die totaal niet zijn betrokken geweest bij de development. Ik denk dat jij je eigen fouten moeilijker gaat vinden dan de fouten van iemand anders.
Ms heeft een heel team dat zich bezig houd met security reviews. Nu er zijn altijd zaken die over het hoofd worden gezien.
Het blijft raar dat MS niet zelf dit soort engineers in huis heeft die lekken kunnen opsporen.
Hoe kom je na het lezen van dit artikel tot deze conclusie? :?
Er zijn heel wat problemen die zich maar de kop op steken in bepaalde omstandigheden. Je kan dan ook niet alles testen.

Zelf zijnbanale dingen maar sommige van die security leaks zijn dan dingen waar je als gewone gebruiker niet eens aan denkt om te proberen,meestal om de nodige kennis, niet aanwezig.
peer-reviewing is niet alleen in de IT-wereld een fenomeen, het wordt ook veel in de wetenschappelijke middens gedaan, meer nog: het wordt daar zelfs quasi geŽist
Die zijn er natuurlijk wel, het zijn geen imbecielen bij Microsoft. Het is wel opvallend dat de verhouding zo scheef is. Bovendien vraag ik me af of Microsoft zo goed is om deze moeite te steken in de producten van Google (ik neem aan dat zeker een flink deel Chrome gebruikt, ook bij MS).
MS Nederland werkt dan ook niet aan Windows.
Goodwill? Er zit ook een verborgen dreigement in: "Kijk eens concurrent, hoeveel bugs wij in jouw product weten te vinden. Wees maar lief voor ons anders publiceren wij de volgende keer onze vondsten op een minder vriendelijke manier."

[Reactie gewijzigd door Kalief op 13 februari 2013 20:04]

Natuurlijk is dit gewoon goodwill. Dit nieuws staat op veel tech sites, hierdoor krijgt Google weer een beter imago. Google is afhankelijk van dit imago. Als mensen negatief denken over Google zijn mensen minder snel geneigd hun gegevens aan Google te overhandigen, al dan niet indirect.
Kom op dames en heren, niet elk nieuwsberichtje is een gecalculeerd media-spektakel.

Dit soort berichten is van alle dag. We hebben allemaal te maken met dit soort OS-en dus het is voor iedereen een voordeel dat die bugvrij zijn. Verder, maar dat is al eerder genoemd, de peer-review is een veelgebruikt instrument en daar is niets raars aan... en voegt ook geen soap-gehalte aan dit nieuws toe.
En zo hoort het, con-collega's zijn ook collega's. En als je een beveiligingslek ontdekt, is dit natuurlijk een kleine moeite om dit door te geven.
Dit nieuws is natuurlijk ook PR voor Google. Het klinkt niet echt lekker als een "concurrent" van jouw heel veel bugs uit je software haalt en dat naar buiten komt.
Aan de andere kant is dit net zo hard weer PR voor Microsoft. Ze erkennen hiermee de expertise van andere bedrijven en gaan hier ook serieus mee om.
Het aardige is dat Microsoft ook een van de grotere contributeurs aan de Linux kernel is, die Google weer gebruikt in ChromeOS en Android. Iedereen helpt elkaar...

[Reactie gewijzigd door Dreamvoid op 13 februari 2013 21:43]

jep, heb je ook gekeken waarvoor? voornamelijk hyper v van jawel ms ;)

bij google mogen ze iets van 22 procent vande baas zijn tijd besteden voor zichzelf. 1 van de makers van Unix werkt er ook overigens.
MS is niet voor niets contributeur, zij heeft ook algoritmes 'geleend' uit o.s.s., maar dat is moeilijk aan te tonen bij closed source software.
Bovendien is Android voor MS lucratief en zetten ze de concurrentie ook een hak. Het is dus niet vanuit een filantropisch motief dat zij bijdragen levert aan Linux.
maar dat is moeilijk aan te tonen bij closed source software.
Microsoft stelt de source idd niet beschikbaar aan iedereen, maar het is ook weer geen totaal geheim. Allerlei partijen hebben toegang gekregen tot de source, oa overheden, rechtbanken en partners die de licensievoorwaarden getekend hebben. Als daar werkelijk open source code in zit, dan is dat vrij makkelijk aan te tonen.

[Reactie gewijzigd door Dreamvoid op 14 februari 2013 01:16]

In de baas z'n tijd werken voor een ander(lees: Microsoft) ;)

Of gewoon lekker bijbeunen...

Goed bezig in ieder geval!

[Reactie gewijzigd door aprinsen op 13 februari 2013 20:27]

Ach, minder tijd spenderen met herstellen van kapotte Windowsen is meer tijd die gespendeerd kan worden op het internet, zal Google wel denken ;)
Waarom in de baas zijn tijd?
Omdat ze dit waarschijnlijk in hun 20% tijd doen. Het blijft een fascinerend idee: je werknemers 1 dag in de week de vrijheid geven om te doen wat ze willen (en alles wat ze maken is van Google). Ach ja, het zou me ook niks verbazen als de meeste van deze bugs voortvloeien uit security patches die Google in chrome moet doen en die ze liever in het onderliggende OS gefixed zien.
Die 20% tijd is tijd die ze mogen gebruiken om aan eigen ideŽen en projecten te werken, maar nog steeds in dienst van Google. Zo is bijvoorbeeld Latitude ontstaan, en ook Google Sky, AdSense, ...

Eigenlijk krijg je de "toestemming" om 20% van je (baas zijn) tijd aan onbelangrijke dingen te spenderen. :) Niet-goedgekeurde ontwerpen, voor dom aangenomen ideŽen, probeersels, .... whatever.
De "projecten" die in de 20% worden uitgevoerd zijn ook allemaal open voor iedereen, zodat mensen kunnen forken, verbeteren, optimaliseren (van elkaar). Dit itt tot pakweg Apple waar de ene nog niet weet waar zijn buur mee bezig is.
Omdat ze dit waarschijnlijk in hun 20% tijd doen.
Nee, dit is echt zijn fulltime baan.
[Zeikmode]
Juiste spelling van de naam is Mateusz Jurczyk
[/Zeikmode]
Van de in totaal 57 patches die Microsoft op patch tuesday heeft uitgerold, zijn 32 updates gebaseerd op bugmeldingen van Google-medewerkers.
Jurczyk krijgt van Microsoft credits voor maar liefst 32 patches die deze week zijn uitgerold.
Met andere woorden: alle Google-meldingen kwamen van Juczyk..?
Dit is iets van alle tijden. Meer dan 30 jaar geleden kreeg ik van mijn toenmalige leermeester te horen: "There's always one more bug." (Lubarsky`s law of cybernetic entomology)
Zelf programmeer ik, en het klopt ook echt dat je soms door te lang naar een probleem te staren er juist helemaal niet meer uitkomt, als je dan even iets anders gaat doen, en er dan weer fris over na kunt denken, dan kom je ineens op een oplossing voor het probleem, dit zelfde is ook bij het vinden van bugs. Ook klopt het dat wanneer je iemand anders een stuk code van jou laat zien, dat deze vaak alles na vraagt hoe precies alles in elkaar steekt, dan kom je er zelf of diegene ook achter wat de bug is als je zorgvuldig met diegene de stappen doorloopt in je code.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True