Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 293 reacties

Microsoft is niet blij dat Google informatie heeft vrijgegeven over een lek in Windows 8.1, nog voordat Microsoft een patch heeft uitgebracht om het probleem op te lossen. Microsoft komt dinsdag met een patch om het probleem te verhelpen.

Windows 8De onderzoekers van Google ontdekten het beveiligingsprobleem eind september, en gaven Microsoft negentig dagen om het beveiligingsprobleem op te lossen. Microsoft haalde die deadline niet, waarop Google details over de kwetsbaarheid naar buiten bracht.

Microsoft zegt nu dat het de patch dinsdag uit gaat brengen, tijdens zijn reguliere Patch Tuesday-beveiligingsronde. Het bedrijf is echter niet blij dat Google informatie over het lek naar buiten heeft gebracht voordat de patch is uitgerold. "De beslissing van Google voelt niet principieel aan, maar meer als een gotcha, waarbij consumenten de dupe zijn", schrijft Chris Betz van de beveiligingsafdeling van Microsoft.

Het bedrijf stelt dat beveiligingsproblemen pas naar buiten zouden moeten worden gebracht als het probleem is opgelost. Dat zou gebruikers beter beschermen tegen misbruik van het beveiligingsprobleem. Volgens Google zet de deadline van negentig dagen bedrijven juist onder druk om problemen eerder op te lossen, waardoor de impact van beveiligingsproblemen wordt verminderd.

Microsoft schrijft dat het Google heeft gevraagd om 'twee dagen' te wachten met het naar buiten brengen van informatie over het beveiligingsprobleem, tot de patch tuesday-ronde. Google bracht de informatie echter al eind 2014 naar buiten; waarschijnlijk bedoelde Microsoft dan ook twee weken in plaats van dagen.

Het beveiligingsprobleem zorgt ervoor dat een reguliere gebruiker op Windows 8.1 zonder toestemming administrator-rechten krijgt. Daarvoor moet een gebruiker wel een geldige login hebben en fysieke toegang hebben tot het apparaat. Het probleem werd gevonden door Project Zero, een beveiligingsteam van Google. Bedrijven krijgen negentig dagen de tijd om gevonden beveiligingsproblemen te patchen; daarna brengt het team de kwetsbaarheid naar buiten.

Update, dinsdag 12:30: Mogelijk gaat het om een ander beveiligingsprobleem, wijst lezer MIster X aan. Die bug werd inderdaad twee dagen voor patch tuesday openbaar gemaakt.

Moderatie-faq Wijzig weergave

Reacties (293)

Volgens mij lopen hier zaken door elkaar heen, waardoor ook verwarring is ontstaan over die 2 dagen: het gaat om 2 verschillende bugs.

In de eerdere disclosure betrof het Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl (eind september gerapporteerd, datum publicatie 29 december). Maar volgens mij verwijst Chris Betz naar Issue 123: Windows Elevation of Privilege in User Profile Service (gerapporteerd op 13 oktober, datum publicatie op 11 januari).

Uit de correspondentie bij die laatste issue:
Correspondance Date: 11 Nov 2014

> Microsoft confirmed that they are on target to provide fixes for these issues in February 2015. They asked if this would cause a problem with the 90 day deadline.

< Microsoft were informed that the 90 day deadline is fixed for all vendors and bug classes and so cannot be extended. Further they were informed that the 90 day deadline for this issue expires on the 11th Jan 2015.

[Reactie gewijzigd door MIster X op 12 januari 2015 19:18]

En Google gaat gewoon door! Vandaag hebben ze weer een nieuwe zwakheid in Windows 7 en 8 bekendgemaakt die Microsoft niet binnen 90 dagen heeft opgelost: Issue 128: Windows: Impersonation Check Bypass With CryptProtectMemory and CRYPTPROTECTMEMORY_SAME_LOGON flag.

Google op 14 januari: "Asked Microsoft for information on whether they were going to fix this issue and timescales of it. Notified them that the current deadline is the 15th January... Microsoft informed us that a fix was planned for the January patches but has to be pulled due to compatibility issues. Therefore the fix is now expected in the February patches. "
Ik vind sowieso het concept 'wachten tot het dinsdag met de patch tuesday-ronde meekan' een raar iets. Alsof kwaadwillende gaan wachten tot het dinsdag gepatcht is om het te misbruiken 8)7 . Zodra zoiets gefixt is moet je dat na het testen direct uitbrengen!
Dat gebeurt ook met echt ernstige lekken (althans, vanuit Microsoft dan...laten we het niet hebben over bv. Adobe...).

Dit lek is op zich niet extreem gevaarlijk (er is fysieke toegang en een geldige inlog nodig) dus ik snap best dat hij in de reguliere patch-ronde valt.

Het gebundeld uitbrengen van fixes is ook niet meer dan logisch. Gebruikers weten dan wat ze kunnen verwachten en is het geen verrassing als er een pop-up komt voor een reboot. Vergeet niet dat veel gebruikers niet bijzonder veel van computers weten / begrijpen en als dan opeens op donderdag zo'n prompt komt, hangen ze aan de telefoon omdat ze denken dat ze een virus hebben (of ze drukken op Cancel omdat ze niet weten wat het is, zodat ze alsnog niet beschermd zijn).

Daarnaast is het voor het uitleverende bedrijf handiger gebundeld fixes uit te brengen; dan heb je één release die je integraal kunt testen i.p.v. 10 losse releases. Er is altijd een kans dat de ene wijziging impact heeft op een andere, dus integraal testen heeft daar de voorkeur.

Wat betreft het topic:
Wat mij betreft zit Google hier fout. Vanuit Google is net na het publiceren al toegegeven dat ze niet even bij Microsoft hebben nagevraagd wat de status van het issue was. Als je dit soort bugs gaat publiceren valt dat wat mij betreft onder 'grove nalatigheid'. Een vulnerability melden en aangeven dat er een 90 dagen termijn voor het fixen is om er voor te zorgen dat het ook serieus wordt opgepakt, is wat mij betreft prima. Maar daar hoort ook een vervolg bij; voor publicatie navragen wat de status is en als de fix onderweg is / er een ETA is wachten op de uitrol en controleren of het ook goed is opgelost (en zo niet, opnieuw in gesprek gaan). Het niet voldoende communiceren is hier het grootste probleem, dat is waardoor er een exploit op straat is komen te liggen. De hoofdverantwoordelijkheid ligt wat mij betreft dan bij degene die de exploit publiceert.
En ondertussen besluit Google geen patches meer uit te brengen om bugs in Webview te fixen voor versies ouder dan 4.4.
bron
Dus alle bugs hierin mogen nu direct openbaar gemaakt worden, waardoor volgens het artikel 930 miljoen gebruikers vatbaar zijn?
Ik vind sowieso het concept 'wachten tot het dinsdag met de patch tuesday-ronde meekan' een raar iets. Alsof kwaadwillende gaan wachten tot het dinsdag gepatcht is om het te misbruiken 8)7 . Zodra zoiets gefixt is moet je dat na het testen direct uitbrengen!
Als MS voor elke patch op de dag dat ze de patch afhebben, deze uitbrengen op Windows update, gaat iedereen piepen dat er zoveel updates uitkomen en dat het vervelend is.
Dat valt volgens mij enorm mee, plus dat als je het goed instelt je er weinig tot niks van merkt. Het is zelfs zo dat ik af en toe een handmatige controle doe of er nog wel updates worden geinstalleerd, gewoon omdat ik het idee heb dat er niks gebeurd (een notificatie van dat er updates zijn geinstalleerd zou geen gekke oplossing zijn).
Zodra windows opstart na het instaleren van updates komt er altijd zo'n ballonnetje bij je taakbalk met "windows has installed new updates". Staat ook in je eventviewer, en bij opstarten en afsluiten het "windows is applying updates 1 of x".
zijn die balonnentjes niet het eerste wat iedereen uitschakelt ?
Ik iig niet omdat daar veel nogal belangrijke systeem meldingen in langs komen. Ook niet aan te raden, fatsoenlijke apps misbruiken het niet en is individueel ook uit te schakelen.
Zodra windows opstart na het instaleren van updates komt er altijd zo'n ballonnetje bij je taakbalk met "windows has installed new updates". Staat ook in je eventviewer, en bij opstarten en afsluiten het "windows is applying updates 1 of x".
En dan is je systeem weer een halve eeuw bezig om updates te installeren voordat je het kan afsluiten.

De melding "Do not turn off or unplug your computer" helpt niet veel als je je laptop uit wil zetten omdat je accu bijna leeg is. |:(
Als thuisgebruiker wel, voor bedrijven is het wat meer werk. Reboots gaan daar gecontroleerd en gefaseerd. Voor ons is het schema:

Woensdag: patchnotes doorlezen, patches goedkeuren, patches testen op een paar testservers. Informatie doorsturen naar applicatie/functioneel beheerders.
Vrijdagavond: installatie patches op alle test machines.
maandag-donderdag: functioneel testen van gepatchte servers.
Vrijdagavond: installatie patches op productie machines.

In die anderhalve week dat dit proces loopt mogen er geen extra patches bijkomen aangezien de testen dan niet meer representatief zijn.
dayum nooit gerealiseerd dat daar zoveel tijd in gaat zitten. Maja ik ga dan ook nog naar school....
Als 10 patches op dinsdag uitkomen of over een week verspreid zijn maakt het toch niks uit?
Dus waarom zullen mensen gaan piepen?
Ik ken Mac gebruikers die ook een windows pc hebben (of bootcamp) en elke keer dat hij zijn windows opstart zit hij steen en been te klagen dat windows moet updaten.
"Bij Mac heb ik daar geen last van bij Macroflop elke keer"
Tjach hij start hem om de de 1 a 2 maanden eens op. Wat wil je dat je bij Mac maar enkel updates krijgt bij een nieuwe versie.
Het is Natuurlijk een verkeerd beeld dat die kerel heeft, maar kan al tellen als "iemand die piept over updates"
Dan moet hij maar Windows 8 proberen dat irritant gedoe is zowat verleden tijd.
Zelf had ik op vista de gewoonte om naar updates te zoeken maar sinds Windows 8 heb niet meer.
Windows 8 is al helemaal waardeloos met updates als je je computer weinig gebruikt, of niet vaak update.

Een tijd windows 8 getest. en midden op de werkdag begon die zich zelf opnieuw op te starten, omdat HIJ(de computer) vond dat het te lang duurde, en je kan er gewoon niks aan doen.

En dan afvragen waarom mensen klagen over windows update?
nee, ik bepaald zelf wel wanneer ik de patches installeer, en dat hoeft echt niet iedere dag.. asjeblieft zeg..
eens in de maand is prima, en goed bij te houden.
Dan heb je al twee dagen lang de melding dat je pc opnieuw opgestart moet worden.
dus dat geeft windows het recht om dan zelf maar te bepalen wanneer die opnieuw opstart?
Zodra ze een patch hebben mogen ze hem implementeren. Laat de keuze om hem te installeren bij de gebruiker. Lijkt me iets meer van deze tijd.
Dan laat je de individuele systemen toch bepalen wanneer ze checken op nieuwe updates? De ene installatie checkt dagelijks, de andere elke maandag, etc, en het probleem van piepers is 'opgelost' (tussen quotes omdat je er altijd een handjevol azijnzeikers tussen hebt zitten) omdat ze het update schema zelf kunnen instellen. Alleen de critical updates hoef je dan als notificatie te pushen.
Zodra er een kritiek beveiligingslek is brengt Microsoft de patch tussentijds uit, dat is vrij recent nog gebeurd (November) met een Kerberos lek. En uitbrengen zodra het er is kan leuk zijn, echter bedrijven zitten ook met SLA's continuiteit en dergelijke. Door de patches 1 keer per maand uit te brengen creëer je meteen een mooi window voor je klanten om zijn patches te installeren en heb je meteen de recente patches te pakken.
Alleen word in een bedrijfsomgeving vaak een tussensysteem gebruikt (zoals WSUS) waardoor dat excuus niet opgaat. Of je ze nu 1x per maand uitbrengt, of uitbrengt wanneer ze klaar zijn, ze moeten binnen een bedrijf toch ook nog eens door de QA en het IT team kan dit continue doen of ervoor kiezen om dit 1x per maand te doen. Maar de eindgebruiker die gewoon alle patches binnenhaald is wel sneller van mogelijke lekken verlost.
lolz
Je krijg dan van die mailings :
op de dag van de melding dringende mail van de klant :
"neem je die update dan ook direct mee bij de volgende patch ronde ?"
"Ja hoor wanneer mag ik patchen"
"euh volgende patch ronde is binnen 3 maand"
8)7
Mwah, xx,x % van de patches hebben meestal een "mits".
In dit geval, mits:
Daarvoor moet een gebruiker wel een geldige login hebben en fysieke toegang hebben tot het apparaat.
Niet dat je het moet gaan bagatelliseren, maar je moet het wel relativeren en analyseren.
Sommige zijn critical, andere weer niet.
Zodra zoiets gefixt is moet je dat na het testen direct uitbrengen!
Kennelijk weet je dat niet, maar dat hebben ze 10 jaar lang gedaan. Advance Notification Service.
http://technet.microsoft.com/en-us/security/dd252948.aspx

Recentelijke wijziging hierin is dat het niet meer publiekelijk toegankelijke dienst is.
http://www.zdnet.com/arti...onger-publicly-available/
(ik ga maar niet naar de onjuiste berichtgeving van Tweakers linken...)
Ja, alsof je daar zo blij van wordt, elke dag dat je dan weer een melding krijgt van , heee er is weer een patch..
Hah, ik vind het wel een goeie zaak hoor, nou weet Microsoft namelijk (voor de volgende keer) dat ze ook echt 90 dagen hebben, en niet 92 dagen
Precies, ik snap het gezeur van Microsoft niet. Ik vind 90 dagen nogal rijkelijk voor een beveiligingslek in Windows. Al die dagen ben je dus gewoon kwetsbaar voor aanvallen. Microsoft had kunnen weten dat Google zich strak aan die periode zou houden; het zijn tenslotte ook concurrenten van elkaar. Daarom had MS die patch gerust enkele dagen eerder uit kunnen brengen. Je maakt mij namelijk niet wijs dat deze patch pas op "Patch Tuesday" klaar is.

Vind het sowieso onzinnig dat er iedere keer tot deze "Patch Tuesday" wordt gewacht met het uitbrengen van belangrijke updates. Bij Ubuntu (en vele andere Linux-distro's) wachten ze ook niet op een vaste dag. Ik krijg patches zodra deze klaar zijn; dat kunnen er best meerdere op dezelfde dag zijn. Bij mij is Ubuntu zo ingesteld dat deze patches zonder tussenkomst van de gebruiker worden geïnstalleerd, dus ik heb nergens omkijken naar en heb altijd de laatste software in gebruik.
Je maakt mij namelijk niet wijs dat deze patch pas op "Patch Tuesday" klaar is.
Hij was vast ook eerder klaar, maar om alle patches op een dag uit te brengen maak je het de Admin wel een heel stuk gemakkelijker.

En 90 dagen is helemaal niet zo veel als het lijkt, eerst moet uitgezocht worden waar het probleem ligt, daarna moet een patch geschreven worden, beide kunnen veel of weinig werk zijn, maar het meeste werk is daarna de patch testen, en kijken of het echt werk, en of er geen nieuwe leken, of onbedoelde andere problemen op levert.

Want hoewel het nagenoeg altijd goed gaat, brengen patches ook een risico met zich mee, speciaal voor bedrijven die vaak vele van de zelfde machines heeft staan, kan een problematische patch een hoop kosten en problemen veroorzaken, als een groot deel van het personeel opeens niet hun PC kan gebruiken.

En voor kleinere bedrijven met maar een ITer, zorgen patches op verschillende dagen op veel onnodig overwerk.

Ben het dan ook voornamelijk met MS eens, Google had best 2 weken kunnen wachten, er was een duidelijke datum genoemd, dat betekend dat er duidelijkheid was van MS zijn kant dat het probleem serieus genomen werd, en ja ik zie heus ook wel dat Google's standpunt zijn punten heeft.

ben het alleen van mening als er duidelijkheid is met een datum, dan is openbaring op deze manier niet meer nodig.
Het lijkt erop in deze thread dat mensen Microsoft nog steeds niet zien als een partij welke security serious neemt. Zo niet de front leader is op dit gebied onder de software leverenciers.

Bill Gates publiceerde al in 2002 de 'Trustworthy Computing' memo. (10 jaar later opnieuw gepubliceerd: http://news.microsoft.com/2012/01/11/memo-from-bill-gates/)
Vanaf dat moment heeft Microsoft miljarden geinversteerd in Security. Een heel mooi voorbeeld hiervan is de Security Development Lifecycle, die door velen geroemd wordt:Microsoft is dan ook een van de weinige partijen die hier ten strijde durft te trekken richting Google. Het is namelijk enorm raar dat een bedrijf gaat besluiten om miljoenen mensen in problemen te brengen. Het is namelijk niet zo dat Google geen vulnerabilities kent (zie: http://www.cvedetails.com...opec-1/Google-Chrome.html). En geloof mij, zij willen haar users ook niet bloot stellen aan dit sort problemen.

Daarbij is het als laatste bijhoorlijk uitzonderlijk te noemen dat je voor een dergelijke cruciale patch, welke zo'n impact heeft en tevens zo lasting uit te rollen is(naar 1000-en devices en 100-en OEM vendors), geen rekening kunt houden met de omstandigheden. Ik geloof dat de kritiek hier op z'n plaats is.
Dat is allemaal heel leuk en aardig in theorie, maar als een bekend en gerapporteerd(!) beveiligingslek 90 dagen lang ongepatcht blijft, dan heb je simpelweg gewoon geen recht van spreken meer. Dat is gewoon nalatigheid.

Dan kan hun security policy in theorie er heel mooi uitzien, maar dat verandert daar niets aan. Ik kan Google's beslissing dan ook alleen maar toejuichen; het is de afgelopen decennia meer dan duidelijk geworden dat dit soort deadlines gewoon noodzakelijk zijn, omdat bedrijven anders lekken gewoon niet dichten om economische redenen.

Het lek was zonder twijfel al lang en breed bekend bij de 'slechte partijen', het enige wat Google heeft gedaan is Microsoft dwingen een patch hiervoor uit te brengen. Uiteindelijk winnen de gebruikers.
Behalve dan die gebruikers die in de tussentijd door het bekendmaken van dit lek getroffen worden.
Het lek begint niet plotseling te bestaan zodra het gepubliceerd wordt. Dergelijke lekken worden over het algemeen al in de praktijk gebruikt voor publicatie.

Zie ook: http://www.spacerogue.net/wordpress/?p=536
Je moet toch toegeven dat de kans groter is na publicatie.
Of de kans groter is, is niet relevant an sich. Het gaat over het 'opgetelde risico' dat gebruikers lopen in de lange termijn, en die is doorgaans toch echt een stuk minder na publicatie.
Bullshit! Hoe meer mensen ervan op de hoogte zijn dat er een lek is hoe mee mensen zullen proberen er misbruik van te maken. Simpele logica die iedereen begrijpt.
Ach Google is nu eenmaal heilig bij velen.
En dit soort oppervlakkige reacties is dus waarom security niet bespreekbaar is en masse.

De lange-termijns-risicofactor die voortkomt uit een bepaalde disclosure-strategie is gebaseerd op veel meer punten dan alleen "hoeveel mensen zijn ervan op de hoogte". Het gaat dan bijvoorbeeld ook om het verschil in hoe snel een lek gepatcht wordt (immers is het makkelijker om een lek niet te patchen wanneer niemand het toch publiceert), de complexiteit van de benodigde exploit, enzovoorts.

En nog bedankt voor de persoonlijke aanval in de tweede helft van je reactie; dat geeft echt aan dat je verstand hebt van het onderwerp.
We hebben het hier over Windows van Microsoft, als zo'n bedrijf op 90 dagen geen patch kan uitbrengen, dan kan geen enkel bedrijf op de wereld dat.

Als Google de 2 weken had gewacht, kon Microsoft daarna nog steeds klagen of het nog langer uitstellen. Nu is het duidelijk dat als Google een bug in je software vind, je er maar beter werk van maakt om het binnen die periode op te lossen.
We hebben het hier over Windows van Microsoft, als zo'n bedrijf op 90 dagen geen patch kan uitbrengen, dan kan geen enkel bedrijf op de wereld dat.
De minder gebruikers je hebt en minder configuraties je ondersteunt des te makkelijker kan je op korte termijn releasen.
Dus juist Microsoft heeft het er moeilijk mee om heel snel te releasen
Eigenlijk zeg je hiermee dat Windows per definitie minder veilig is. Lijkt me geen fijne marketingboodschap.

Maar los daarvan: MS kiest ervoor om een OS te ontwikkelen dat op een enorm scala aan configuraties kan draaien. Dat maakt dingen als patches ingewikkelder, maar mag nooit als excuus gebruikt worden om niet of te laat te patchen. Want daarmee geef je als producent alleen maar aan dat je niet opgewassen bent voor deze taak.

MS moet dus zorgen voor voldoende resources met de juiste kennis. Zodat ze wel snel kan patchen.
Geloof me nu dat Microsoft niet 100 desktops heeft staan om even zijn OS te testen op verschillende setups, dit is 99% geautomatiseerd en gevirtualiseerd. Ze produceren al 30-40 jaar operating systems, dus ik denk dat er geen enkel bedrijf zou kunnen tippen aan MS als het daarover gaat.
En toch vind ik niet dat Google deze taak op zich hoort te nemen. Laat een onafhankelijk bedrijf dit soort security issues onderzoeken, en indien ze er profijt aan hebben het na een x aantal dagen publiceren.

Goed dat Google de concurrent wilt verbeteren( hu wat zeg ik nou, dat klopt toch niet? ) maar ga het dan niet ook nog eens zelf publiceren. Ook al wilt Google op die manier haast erachter zien te krijgen ( hu alsof Google zo graag MS wilt helpen? )

Nee indien Google geen eigen OS zou hebben, best. Maar dit vind ik niet echt op zijn plaats. Want wat is nu uiteindelijk het resultaat geworden; MS (concurrent van google) krijgt negatief nieuws.. De patch die kwam hoe dan ook toch wel, dankzij google of niet.
Zonder Google had de lek er nog maanden/jaren in gezeten hebben. Google haalt hier niet profijt uit, buiten dat hun nieuw security team goed bezig is.
Wie zegt dat het er dan nog maanden of jaren gezeten had? Google haalt hier geen profijt uit? Dit is over de rug van een ander omhoog zien te komen.
Ik blijft bij mijn standpunt in mijn post hierover.
Een patch maken is 1 ding.
Daarna moet een patch getest worden of deze werk en niet andere systemen beinvloed.
Het zal niet de eerste keer zijn als een snel uitgebrachte patch voor nog meer problemen zorgt.

De 90 dagen is een bedachte termijn. Het lijkt me als je in overleg bent en de andere partij geeft aan ik heb nog 2 dagen over 2 weken langer nodig dat je dat in goed overleg kan doen. Is er na die 2 dagen of 2 weken nog geen patch dan kun je het openbaar maken.

Het lijkt er nu op dat google een soort rechter is. 90 dagen is voor hun 90 dagen, goed overleg, pff het is MS onze concurrent en die kunnen ze dan een hak zetten want we hebben ze tenslotte 90 dagen de tijd gegeven.

MS heeft een goed argument dat die schade kan veroorzaken bij gebruikers. Google heeft wat mij betreft geen argument met 90 dagen, goed overleg is in dit soort gevalen altijd beter dan star aan een tijd vasthouden.
Ik vind 90 dagen voor het oplossen van een beveiligingslek best redelijk en misschien nog wel te lang. Als Google zo'n termijn niet stelt, zal Microsoft minder opschieten met het patchen van het lek, want de consument weet het toch niet.

Een lek is ook prima te dichten in 90 dagen. Hoe lang het duurt hangt simpelweg af van de hoeveelheid mankracht die Microsoft erin steekt. Hoe meer mankracht, hoe sneller het probleem is opgelost. Sneller dan 90 dagen zou met nog meer mankracht ook best mogelijk zijn.

Kortom, het is gewoon een geldkwestie. Als Google uitstel van het patchen van het lek accepteert, dan zal Microsoft waarschijnlijk minder geld in het probleem stoppen. Dat betekent dat het langer duurt voordat het lek gedicht is en dat is slecht voor de consument.
Het lek is ook prima te dichten in 90 dagen.

mm dat weet jij omdat je de broncode gezien hebt, De oplossing weet en weet dan het in een kortere tijd kan. Opmerking van de beste stuurlui staan aan wal.

Nee meer mankracht dan maar. Mankracht lijkt natuurlijk altijd een oplossing maar de praktijk is dan weer anders.

Natuurlijk kun je er meer mankracht op zetten d.w.z je moet kundige mankracht hebben. Die kundige mankracht moet je ook nog eens het hele jaar bezig houden.

Als commercieel bedrijf moet je altijd een afweging maken hoeveel personeel neem ik in dienst. Heb je te veel dan kost het geld maar heb je bij dit soort problemen wel mankracht. Mankracht die dan de halve tijd niets zit te doen en geld kost. Nee dat is de oplssing die jij mankracht noemt.

Het lijkt allemaal zo simpel en iedereen weet het beter maar de praktijk is helaas iets anders.
Het lek is ook prima te dichten in 90 dagen.

mm dat weet jij omdat je de broncode gezien hebt, De oplossing weet en weet dan het in een kortere tijd kan. Opmerking van de beste stuurlui staan aan wal.
Ten eerste: ik zeg niet dat ik "de broncode gezien heb" en ik zeg ook niet dat ik "de oplossing weet". Het is niet mijn bedoeling om te doen alsof ik verstand heb van het probleem zelf.
Natuurlijk kun je er meer mankracht op zetten d.w.z je moet kundige mankracht hebben. Die kundige mankracht moet je ook nog eens het hele jaar bezig houden.

Als commercieel bedrijf moet je altijd een afweging maken hoeveel personeel neem ik in dienst. Heb je te veel dan kost het geld maar heb je bij dit soort problemen wel mankracht. Mankracht die dan de halve tijd niets zit te doen en geld kost. Nee dat is de oplssing die jij mankracht noemt.
Wat ik wel probeer te zeggen is dat ik het redelijk vind om van een groot bedrijf zoals Microsoft te verwachten dat er genoeg geld in een beveiligingsprobleem gestopt wordt om het in 90 dagen te kunnen oplossen, zelfs als er dan teveel mankracht aanwezig is als er geen problemen zijn.
Het lijkt allemaal zo simpel en iedereen weet het beter maar de praktijk is helaas iets anders.
Natuurlijk is het best mogelijk dat ik een belangrijk punt over het hoofd zie en ik ben er dan ook niet op uit om te doen alsof ik per se beter weet wat Microsoft moet doen dan Microsoft zelf.
Wat ik wel probeer te zeggen is dat ik het redelijk vind om van een groot bedrijf zoals Microsoft te verwachten dat er genoeg geld in een beveiligingsprobleem gestopt wordt om het in 90 dagen te kunnen oplossen, zelfs als er dan teveel mankracht aanwezig is als er geen problemen zijn.

Wat je zegt is dat een bedrijf en eigenlijk ieder softwarebedrijf maar ruim voldoende en liefst te veel mensen in dienst moet hebben om er voor te kunnen zorgen dat als er problemen zijn deze heel snel opgelost kunnen worden.

Lijkt me compleet niet realistisch. alles heeft met geld te maken en mensen duimen laten draaien is niet realistsich. Ieder bedrijf en zelfs overheden moeten een afweging maken tussen capactiteit en overcapaciteit. Je krijgt daar een middenweg in. De ene keer zal het iets langer duren de andere keer iets korter.
Lijkt me compleet niet realistisch
Niet in een wereld waarin softwarebedrijven niet aansprakelijk zijn voor hun ontwerpfouten, zoals waar wij in leven.

Stapt u in een vliegtuig waarin een ontwerpfout zit, die door Google is ontdekt en waarvan Airbus / Boeing 90 dagen heeft om het te "patchen", maar nog 2 weken extra respijt wil? Nee, _al_ die vliegtuigen blijven in dit soort gevallen aan de grond staan, totdat het is opgelost.

Als uw auto een airbag heeft, waarbij delen van de gascilinder kunnen exploderen en de scherven door uw hoofd kunnen vliegen bij een botsing waardoor u overlijdt, vindt u 2 weken respijt acceptabel?

Mocht er toch iets fout gaan waardoor er toch een aanrijding of vliegtuig crash door programmeerfout van de automatische piloot is met gewonden / overleden mensen, accepteert u dan dat GM/Boeing zegt: "Ja, sorry, dat bugje hadden we nog niet opgelost, die komt misschien volgende maand met patch tuesday" en dat ze er geen boete voor krijgen?

Boeit het u ook maar ene uitwerpsel hoeveel personeel Boeing of GM wel of niet moet aannemen en of dit wel of niet realistisch is om uw vliegtuig in de lucht te houden of te voorkomen dat uw airbag u doodt?

De software-industrie is gewoon onvolwassen, ze doen alsof ze niet verantwoordelijk zijn voor hun ontwerp- en programmeerfouten, en daarom ook dat ze die _fouten_ af doen als 'bugje'.

Het lijkt me dat de wetgever, net zoals er een machinerichtlijn is waarbij machinemakers bij ongevallen moeten aantonen dat ze alles hebben gedaan om schade en ongelukken te voorkomen (inspanningsverplichting), dit gewoon ook moet gelden voor softwarebedrijven. Dat is de enige manier om hun lamzakken-cultuur van "niet mijn probleem" en "lossen we misschien later nog wel op" bij softwarebedrijven te doorbreken. Precies die hele lamzakken-cultuur zorg er namelijk ook voor dat talloze belangrijke delen van infrastructuur zomaar kunnen uitvallen.
Als je dit soort software in deze dagen van complexe systemen wilt hebben dan kost het simpelweg bakken meer geld. Ik vind de vergelijking ook raar met systemen waar mensen van afhankelijk zijn qua overleving. Er zit ook software in vliegtuigen en auto's en daar worden heel andere eisen aan gesteld qua veiligheid. Maar zelfs simpele software kost daar dan ook een stuk meer om te ontwikkelen.

'Lamzakken-cultuur' is echt een statement dat zegt dat je er echt geen idee van hebt hoe het er in de software-industrie aan toegaat.
Cybercrime voor de USA kost per jaar 100 miljard:

http://www.wsj.com/articl...4328904578621880966242990

Voor minder geld dan dat moeten belangrijke systemen als Windows en SCADA toch beter te beveiligen zijn.

"'Lamzakken-cultuur" refereert vooral naar de lobby van o.a. Microsoft en Google (management dus) om geen wetgeving aan te willen nemen waarbij ze net zoals machine / autoleveranciers verantwoordelijk worden voor schade veroorzaakt door ontwerpfouten van hun eigen producten, maar dat ze de situatie zo willen houden dat hun klanten opdraaien voor de miljarden aan schade veroorzaakt door hun fouten en falen.

Zelf werk ik inderdaad niet in de software-sector, maar in een sector waar je gewoon failliet gaat als je defecte producten levert, en waar bedrijven gewoon aansprakelijk zijn voor letsel / schade veroorzaakt door hun machines. Ik vind dat niet meer dan normaal, waarom zou software waarvan het slechte ontwerp 100'en miljarden per jaar aan schade oplevert hierop een uitzondering moeten zijn?
"Een lek is ook prima te dichten in 90 dagen."

Dat is anders een flink bizarre aanname. Wat weet jij van die bug? Wat weet jij van het platform qua ontwikkelingen? Wat weet jij van de definition of done van MS?
Nee meer mankracht dan maar. Mankracht lijkt natuurlijk altijd een oplossing maar de praktijk is dan weer anders.

Natuurlijk kun je er meer mankracht op zetten d.w.z je moet kundige mankracht hebben. Die kundige mankracht moet je ook nog eens het hele jaar bezig houden.
Twee beroemde adagiums uit de professionele IT-wereld zijn hierop van toepassing:

1) "A project manager is someone who thinks 9 women can make a baby in one month". Sommige dingen zijn gewoon niet te parallelliseren. 5 mensen op hetzelfde stukje code zetten is nooit 5 keer sneller dan het aan 1 persoon overlaten, die zichzelf niet in de weg zit, die geen dubbel werk doet, die geen coordinatie nodig heeft over wie wat doet.

2) Volgend hierop ook Brooks's Law: ""adding manpower to a late software project makes it later.". Als je er gaandeweg een project (zoals een bugfix) achter komt dat er meer capaciteit nodig is om een deadline te halen, ben je in de meeste gevallen al te laat en zal het enkel de deadline nog maar moeilijker haalbaar maken.
Aan stelling 2 moest ik ook meteen denken
Aan de andere kant is een bedrijf als MS groot genoeg om dit om te draaien en er daardoor geen last van te hebben: met (te) veel mensen beginnen en als ze voorlopen/klaar zijn er mensen van het project af te halen.
Adding manpower to an allready late project makes it later...

Maar los daarvan. Wat Microsoft hier zegt is luister we patchen het maar zou je twee weken kunnen wachten? Dan scheelt het een hoop sysadmins shit in de December maand en kan het gewoon mee in de reguliere cycle.

Lijkt me een menselijk/klantvriendelijk voorstel van Microsoft. Dat Google hier zo mee omgaat laat in mijn ogen meer de haat/angst bij Google zien dan wat dan ook.

Het is jammer dat (bepaalde delen van) Google steeds verder van dont be evil gaan staan. Ook heel menselijk maar wel jammer
Waarom treedt MS ze nu pas naar buiten dat de oplossing woensdag meegaat met de reguliere update? Zou MS reageren met het feit dat dit een complex probleem is en dat men verwacht a,b,c en d te doen om dit op te lossen dan geloof ik nooit dat een Google dat gaat uitbuiten omdat ze zelf ook in het zelfde schuitje kunnen komen. Verwachtingsmanagement is echter een duidelijk sterker punt van Google dan van Microsoft die alles gesloten probeert te houden.

Grote bedrijven, ongeacht Microsoft en/of Google denken vanuit hun volume ook de markt te kunnen dicteren. Als er geen druk op zou staan bepalen zij alleen wanneer een lek kritisch of niet is en dat is een gevaar in zichzelf. Ik vind het geven van een reële deadline (3mnd!) en daarna functioneel de fout vrijgeven bij geen reactie, een relatief nette weg.
De termijn is ruim, maar je vergeet 2 dingen in beschouwing te nemen:
1) Ze waren er niet mee aan het slabakken, ze waren er wel mee bezig want ze vroegen zelf een kort uitstel om het nieuws naar buiten te brengen.
2) Het is heus niet de enige update waar ze aan werken op dat moment, elke patch doorloopt een hele procedure van maken/testen/pushen en weet ik veel wat nog allemaal.
Moest Microsoft zeggen dat ze het niet behandelen of zeggen dat het geen hoge prioriteit heeft dan is dat anders. En het is gemakkelijk te zeggen dat een lek prima te dichten is in 90 dagen, maar een probleem kan vrij diep zitten en zich op meerdere plaatsen situeren. Er is ook geen zicht op hoe complex de code is. Zoals Player-X hieronder ook beschrijft.

[Reactie gewijzigd door MClaeys op 12 januari 2015 12:13]

1) Ze waren er niet mee aan het slabakken, ze waren er wel mee bezig want ze vroegen zelf een kort uitstel om het nieuws naar buiten te brengen.
Ik vraag het me af. Op de website van de NOS valt te lezen dat MS oorspronkelijk de fix pas in februari uit wou brengen. Dus ze zullen er in het begin niet zo hard aan getrokken hebben vermoed ik zomaar. Maar hard kan ik het niet maken.

Ik vind het prima dat Google het doet; bovenstaande in ogenschouw genomen en de vraag om de melding 2 weken uit te stellen doet mij vermoeden dat MS gewoon niet snel genoeg heeft geacteerd.
Mjah, als er ineens een kritieke zero-day lek opduikt krijgt Microsoft in sommige gevallen lang niet zo veel tijd als Google ze geeft.

Dus goed dat ze het willen testen, maar Google's argument vind ik beter. Microsoft moet dan meer investeren in de efficiëntie van die tests, zodat er bij de ergste scenario's minder problemen optreden. Dan is Microsoft ook beter klaar voor de scenario's die al sinds dag 0 de deadline betreden.
Een patch maken is 1 ding. Daarna...
Je vergeet nog de stappen daarvoor.
Microsoft krijgt misschien wel 100 meldingen per dag binnen van mogelijke security issues.
De binnengekomen melding moeten initieel bekeken worden (zijn ze compleet en duidelijk of moet er aanvullend uitgevraagd worden bij de meldende partij) en vervolgens toegewezen aan een security specialist op het specifieke gebied van de melding.
Het issue moet tot in detail onderzocht worden en gereproduceerd worden en er moet een bepaalde prioriteit aangehangen worden om het op te lossen.
Dan moet dan mogelijk door aan andere specialist de oorzaak in de code of het ontwerp van de code opgespoord worden.
Dan moeten de mogelijke oplossingen en de impact van die oplossingen bepaald worden.
Dan moet het issue en de oplossingen aan een releaseboard of zoiets voorgelegd worden om te kijken wanneer welke oplossing gerealiseerd zou kunnen worden in samenhang met andere issues met hun prioriteiten.

Pas daarna volgt de rest van de patchgerichte handelingen uit bovenstaande post.
Je moet het zo zien: Google maakt de bug openbaar en PLOTS kan Microsoft het meteen oplossen. Waarom niet gedurende die 90 dagen, als ze toch zo inzitten met de veiligheid van hun gebruikers?
plots, volgens mij is er aangeven dan men nog 2 weken nodig had.

Jij en ik weten niet hoe lang het duurt om dit op te lossen. Zoals gezegd een oplossing moet je nog testen, testen en testen om 100% zeker te weten dat de oplossing niet voor andere problemen zorgt. Laat dat testen nu ook tijd kosten en soms kan dat ook wel langer duren.
De normale tijd om een patch te maken en te testen is 30 dagen. Ze hebben dus effectief 3x zoveel tijd. Waarom zou het dan niet kunnen?
Sowieso kan ik root toegang krijgen tot elke windows 8 machine als ik er achter zit, zonder tools of zonder in de bios of UEFI te gaan, of zonder een account op de computer te hebben, zelfs als secure boot aan staat en legacy boot niet mogelijk is. Gewoon de computer of laptop van de stroom of batterij halen terwijl hij aan het opstarten is. Doe je dit een paar keer dan start windows normaal de automatic repair mode. Van daar uit is het mogelijk om een command prompt te openen OF via hetzelfde truukjes bij windows 7 notepad te openen met volledige toegang tot het bestandsysteem. Bij windows 7 lukt dan via de startup recovery. Als je die in de gang krijgt door een paar keer op het juiste moment tijdens het booten de stroom er af te halen dan krijg je op het einde normaal een problem report. In de "problem details" staan een link naar txt files. Open je die dan opent hij notepad.exe
Via notepad.exe heb je volledige file toegang. En dus ga je naar system32 en rename je cmd.exe naar utilman.exe of sethc.exe (bij windows 8 weer ik niet of het met sethc werkt dus dan gebruik je utilman.exe
Dat zijn de programma's voor stickie keys of the Ease of Acces manager. Onder windows 8 en 8.1 voor het aanlogen is er een Ease of Acces knop. Als wij natuurlijk utilman.exe vervangen door de cmd.exe dan opent er dus een command window. Typ in "whoami" en dan zie je dat je SYSTEM bent, soort van root account bij Windows.

En dan simpel een nieuw account aanmaken en hem in de admin groep zetten met deze commando's.

net user /add useraccountname mypassword
net localgroup administrators useraccountname /add

En vandaar uit kun je ook gewoon explorer openen door explorer in te typen en dan zie je de desktop verschijnen terwijl het AANLOG programma niet verdwijnt. Heel raar.


Dit principe werkt op elke windows sinds vista. Hoe je bij windows 8 via automatic repair ook bij het bestandsysteem kunt komen om cmd.exe te renamen naar utilman.exe ben ik even kwijt. Maar het is een vergelijkaardig truukje. Als secure boot aanstaat kun je normaal niet zomaar via F8 safe mode of de advanced opties met een command prompt krijgen. Maar door automatic repair een aantal keren te forceren kun je dus ook in windows 8 toegang krijgen tot het bestandsysteem. En dus kan ik zelfs toegang krijgen tot een tablet of netbook met windows 8 zonder usb poorten of recovery cd en zelfs wanneer je niet het BIOS password weet om secure boot uit te schakelen. Kwestie van de de aanknop op het juiste moment lang genoeg in te duwen zodat het systeem in automatic repair terecht komt waar je uiteindelijk opties krijgt om ergens weer via een truukje notepad open te krijgen en de utilmax truuk uit te voeren.

Verdorie ik kan meer precies vinden hoe het met windows 8 ging, en ik heb zelf geen windows 8 meer. Maar ik zweer het, ooit een verloren netbook op die manier gehackt zodat ik kon aanloggen om er achter te komen wie de eigenaar was. En zo is hij ook weer terug bij de eigenaar geraakt. En het ding was beveiligd met een BIOS password en secure boot stond aan.

[Reactie gewijzigd door Kain_niaK op 12 januari 2015 13:02]

En daarom zorg je er als beheerder voor dat Bitlocker ingeschakeld staat, zodat je bij het uitvoeren van de hierboven beschreven truc toch echt een recovery-key nodig hebt.
(En als je dat dan ook nog combineert met MBAM (Microsoft BitLocker Administration and Monitoring) dan wordt er na gebruik van de key ook weer automatisch een nieuwe gegenereerd.)
En daarom zorg je er als beheerder voor dat Bitlocker ingeschakeld staat, zodat je bij het uitvoeren van de hierboven beschreven truc toch echt een recovery-key nodig hebt.
(En als je dat dan ook nog combineert met MBAM (Microsoft BitLocker Administration and Monitoring) dan wordt er na gebruik van de key ook weer automatisch een nieuwe gegenereerd.)
Het vervelende van full-disk encryptie is alleen dat je er ook zelf niet meer in komt als je je wachtwoord/recovery-key niet meer hebt.
Daar heb je dus zoals gezegd MBAM voor: Die slaat centraal de keys op in een versleutelde SQL database, waarbij je middels groepslidmaatschap er voor kunt zorgen dat alleen geautoriseerde personen toegang hebben.
Indien gewenst kun je ook een self-service portal aanbieden aan de eindgebruikers, waarbij gebruikers die als legitieme gebruiker van een werkplek staan aangemerkt zelf hun recovery-key kunnen opvragen.

(Overigens kun je standaard de recovery-key ook in de AD laten opslaan, maar in dat geval is toegang tot de keys maar beperkt af te schermen, en wordt na gebruik niet zomaar een nieuwe key gegenereerd.)

Meer info over MBAM: klik.
Echt belangrijke updates kun jij gewoon downloaden en installeren wanneer deze uitkomen. Alleen de regular en important (niet critical) updates komen elke patch tuesday. Vaak zat een avondje met spoed moeten inplannen om maar even een nieuwe update uit te rollen op alle machines, omdat het critical was.
Dat begrijp ik. Alleen wordt hier nadrukkelijk gesproken van een Windows-lek. Dat valt bij mij toch niet in de categorie "regular" of "important" en had dus veel eerder uitgebracht moeten worden. Wat mij betreft hoort deze update dus niet thuis in de "Patch Tuesday" ronde.
Ik ben het met je eens omdat details over het lek zijn vrijgegeven door Google. Had dit niet gebeurd geweest, had het makkelijk kunnen wachten tot patch-tuesday (want dan had niemand er van geweten, zoals eigenlijk met alle bugs waar misbruik van gemaakt kan worden), :)
Precies, ik snap het gezeur van Microsoft niet. Ik vind 90 dagen nogal rijkelijk voor een beveiligingslek in Windows. Al die dagen ben je dus gewoon kwetsbaar voor aanvallen
Met het verschil dat mensen met kwade bedoelingen niet op de hoogte waren van het feit dat het lek er was. Maar daar heft Google hun gelukkig een handje bij geholpen. Bedankt Google!
Microsoft had kunnen weten dat Google zich strak aan die periode zou houden; het zijn tenslotte ook concurrenten van elkaar.
En gerechtigd Google dus maar om consumenten vatbaar te maken voor een dergelijk lek?
Een tijdje terug stond het volgende artikel op tweakers:
Google wil internet 'veiliger maken' met nieuw onderzoeksteam
Hoe verhoudt dat zich tot deze actie?
Nee, het is geen goede zaak.

Je weet ten eerste niet waarom men zo lang bezig is. Wie weet is de oplossing niet eenvoudig, of bestaat er een risico dat de fix andere dingen onderuit haalt. Microsoft test doorgaans hun patches flink door.

Ten tweede benadeel je alle gebruikers. Deze kunnen er niets aan doen en zijn nu kwetsbaar. Wist vroeger misschien een handje vol mensen af van een lek, nu weet elke cyber crimineel er ineens van. Dat maakt de kans op misbruik exponentieel hoger.
Je weet ten eerste niet waarom men zo lang bezig is. Wie weet is de oplossing niet eenvoudig, of bestaat er een risico dat de fix andere dingen onderuit haalt. Microsoft test doorgaans hun patches flink door.
Dat is denk ik juist kern van het probleem.

Tot nu toe heb ik van Microsoft nergens gehoord dat ze contact hebben opgenomen met Google, terwijl Google de deadline duidelijk in de disclosure genoemd heeft. Als Microsoft's reactie zich beperkt tot "Prima, hij staat in onze issue tracker... fijne dag nog!"... dan snap ik ook dat Google zich gewoon aan de aangekondigde deadline zal houden.
Precies, natuurlijk is het niet zo dat ik sta te juichen dat er weer een lek op straat ligt (wat sommige mensen die gereageerd hebben wel lijken te denken?) maar feit is dat 90 dagen toch echt genoeg moet zijn een lek op te lossen, en als het dat niet is, was het echt niet meer moeite geweest dan even contact opnemen met Google en zeggen dat ze bezig zijn en op datum x een patch verwachten te hebben, waarna die echt nog wel even hun mond hadden gehouden.

Daarbij vind ik het persoonlijk een goede zaak dat andere bedrijven als 'stok achter de deur' kunnen gelden voor Microsoft, weet ik veel hoe groot deel van de wereld draait op Windows, zou het fijn zijn dat Microsoft het met de hoogste prio behandeld, maar ze zijn liever bezig met blokkendozen ;)

Alle ongein even daar gelaten, ik vind gewoon dat als er bij Microsoft een lek in Windows word gemeld, ze dit echt in maximaal 30 dagen moeten oplossen, en dat moet ook echt wel kunnen met de mankracht en financiën die ze hebben, dus dat ze dan 90 dagen niet eens halen is (in mijn ogen) redelijk schokkend
was het echt niet meer moeite geweest dan even contact opnemen met Google en zeggen dat ze bezig zijn en op datum x een patch verwachten te hebben
Wat volgens het artikel ook exact is wat Microsoft gedaan heeft:
Microsoft schrijft dat het Google heeft gevraagd om twee dagen te wachten met het naar buiten brengen van informatie over het beveiligingsprobleem, tot de patch tuesday-ronde.
En verder:
en dat moet ook echt wel kunnen met de mankracht en financiën die ze hebben
Software schrijven gaat niet altijd evenredig sneller met hoeveel mankracht je er tegenaan gooit; daar zijn hele boeken over geschreven. De beste omschrijving is wellicht nog wel dit: "Nine women can't make a baby in one month.".

Nu lijkt negentig dagen vrij ruim, en misschien had het ook wel op tijd gefixed kunnen zijn, maar afhankelijk van hoe complex de issue was moest er veel aangepast worden, waardoor er weer veel getest moest worden, en als daar iets mis gaat is het soms beter om de issue door te schuiven naar de volgende update.
30 dagen is voor een eenvoudige typo misschien haalbaar, maar voor veel issues is dit echt volkomen onrealistisch. Zelfs 90 dagen is voor bepaalde issues uitdagend.
Dat staat toch bijna letterlijk in het artikel en anders wel in de gelinkte blog post. We hadden Google om twee extra dagen (moet weken zijn) gevraagd. Dan zou het mee kunnen in de reguliere cycle en dat scheelt een hoop sysadmins ongepland overwerken.

Dat Google ze dit niet heeft gegeven vind ik jammer. In principe ben ik fan van de 90 dagen regel maar als het niet actief misbruikt wordt en de leverancier geeft het aan te paychen maar als onderdeel van de cycle te pushen, waarom niet?
Dit beweerd Microsoft nu, maar is dat ook echt zo?
hoor en wederhoor?

Sowieso een rare blog. 2 dagen wachten zou betekenen dat Google gisteren! het openbaar gemaakt zou hebben.
[quote]
CVD philosophy and action is playing out today as one company - Google - has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so. Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13,
[quote]

Het bericht op Tweakers dat Google dit lek openbaar is van 2 januari, dus 2 weken ervoor!
Het hele blog komt mij over als een jammerzaak en damage control, en met zo'n blunder erin kan ik het niet serieus nemen.

[Reactie gewijzigd door hackerhater op 12 januari 2015 13:52]

Tot nu toe heb ik van Microsoft nergens gehoord dat ze contact hebben opgenomen met Google
Dan moet je het bronartikel genomed in het Webwereldartikel even lezen:
Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13, when we will be releasing a fix.
Microsoft test doorgaans hun patches flink door.
Dat was wel zo, maar kennelijk is er op die afdeling ook wat bezuinigt, want het afgelopen jaar heeft Microsoft meerdere malen patches terug moeten trekken omdat ze niet (goed) werkten.
tja, dat is een probleem met een OS als Windows, er zijn zoveel ZOVEEL verschillende configuraties, dat hoe goed je ook probeert te testen, zodra er ineens miljoenen mensen er mee aan de slag gaan dan is de kans dat die iets vinden een stuk groter...
Daarin heb je gelijk. Maar ik kan mij niet herinneren dat een redelijk aantal jaren geleden, terwijl Windows toch het grootste marktaandeel had, er bij updates ook zo veel fout ging. Daar leid ik uit af dat het lichtelijk bergafwaarts is gegaan met het testen van de patches.
Of Windhoos wordt veel te groot....dat kan natuurlijk ook. 8)7
vergis je niet hoor, ook vroeger waren er regelmatig problemen als men weer een exotische configuratie had.. Alleen tegenwoordig zijn mensen er veel mondiger over als ze ergens tegenaan lopen, hoppa, meteen op twitter/facebook/whateversocialmedia, en schreeuwen..... Ook is het zo dat tegenwoordig nieuwssites steeds meer elke scheet aan het melden is ongeacht of het werkelijk interessant is of niet..
Je gaat er van uit dat niemand anders weet heeft van de kwetsbaarheid, en dus dat de gebruikers pas kwetsbaar worden als het openbaar wordt gemaakt.

Je kan er gevoeglijk van uitgaan dat Google niet de enige was/is die deze kwetsbaarheid heeft gevonden.
Op het moment dat je het probleem openbaar maakt krijg je waarschijnlijk ook script kiddies die misbruik gaan maken, maar daar staat tegenover dat je als gebruiker ook weet dat je kwetsbaar bent.

Ik hoor slecht nieuws liever eerder dan later...

Daarnaast: ze gaven een 90 dagen respijt. Dat Microsoft daar niet genoeg aan heeft gehad ligt niet aan Google. Die hadden ook gewoon meteen alles openbaar kunnen maken. 3 maanden is een nette marge.
Wat dacht je van medewerkers binnen een bedrijf die nu admin rechten kunnen krijgen? Bedrijven waar updates eerst getest worden voordat ze uitgerold worden zijn extra de dupe want die hebben meer dagen nodig dan de consument,terwijl de kans op gevaar bij die groep juist klein is.
92? Het is vandaag de twaalfde, plus de dagen in september, dan zit je al boven de 105.

Maar het naar buiten brengen van een beveiligingslek vind ik geen goede zet. Daar tref je Microsoft veel minder mee dan de gebruikers die ineens enorme problemen (kunnen) hebben.
Het gaar erom dat bedrijven zonder druk niet veel doen aan veiligheid. Als meneer X of mevrouw Y het gat kan vinden dat Google gevonden heeft, dan kan kwaadwillende Z het ook. Dus de theorie van Google is, we melden het lek, 90 dagen om te repareren (erg lang naar mijn mening), zoniet dan publiceren we het, zodat het bedrijf wel moet. Doen ze niets, dan waren al die tijd de lekken bruikbaar en de klant krijgt niets te horen.
Je hebt gelijk, iedereen kan zero day leaks ontdekken.

Maar daar heb je wel goede skills voor nodig.
En een patch betekent vaak niet alleen ergens een vergeten punt zetten maar soms moet code geheel vervangen.
Persoonlijk vind ik dit soort acties een slechte zaak, als je zelfs geen 2 dagen coulantie hebt. Dan heb je je doel namelijk bereikt, de fabrikant heeft een patch maar heeft 92 dagen nodig ipv die 90.
Stel het is een makkelijk toegankelijk lek dan kunnen in twee dagen alle computers gehackt.

Nu andersom, jij bent gehackt door dat lek waar alleen Google van af wist en dat gepubliceerd heeft met alle ins,outs en how to`s.
Goeie zaak?
Al je data weg, je business in gevaar...........en dan bedank je Google nadat je hoorde dat MS twee dagen weg was van een patch?

[Reactie gewijzigd door Teijgetje op 12 januari 2015 13:53]

Dat is nu juist het punt, je kan er NOOIT van uitgaan dat Google de enige is die van dat lek af weet, dat is nu juist de houding van veel bedrijven en daardoor is de actie van 90 dagen bedacht. Die 2 dagen is kolder, bij het lezen van het artikel staat zelfs dat MS mogelijk 2 weken bedoelde ipv 2 dagen... 8)7

Er zijn forums waar je zo allerlei explooits kan kopen, alles is zo lek als een mandje, maar de fabrikanten gebruiken de woorden, nu nog veiliger enz
Zoals er al meer gereageerd is;
Er is een verschil tussen een paar mensen op de wereld die dit ontdekt hebben/weten, fysieke toegang hebben en inlogcode weten, of iedereen in de wereld.
En dan staat in het bronartikel dat ze expliciet gevraagd hebben te wachten tot 13 januari, PT.
Als je zo met veiligheid begaan bent en je weet dat er een patch is dan kan je publicatiedatum aanpassen tot de 14e, je hebt je doel bereikt.
Er staat geen boete op iets later melden.

Maar komt helemaal overeen met de tijdgeest.
Als je om 12 uur afspreekt voor koffie en je komt om 2 voor twaalf dan ben je vroeg, we zijn nog niet klaar, en bij 2 over twaalf krijg je het verwijt laat te zijn. ;)
Als het zo expleciet in het artikel staat, dan ben ik het me je eens, ik had het anders gelezen. En over de agenda druk... daar ben ik mee gestopt. Tijdje in Azie verbleven en daar veel geleerd hoe men met tijd moet omgaan, maar dat is meer als mens.
Of 90 dagen lang is, hangt niet van jouw mening af, maar dat hangt af om wat voor soort lek het gaat. Soms is het met een simpele aanpassing te verhelpen, maar meestal moeten er ook hele stukken code opnieuw worden geschreven.

Vergeet niet dat elke wijziging die je in een programma doet, ook weer invloed kan hebben op een ander deel van het programma. Nadat een aanpassing zal dit dus allemaal doorgelopen en getest moeten worden, zodat je niet het ene lek dicht en ergens anders weer een lek creëert.
In het artikel staat dat Google dit al eind 2014 uitgebracht had. MS vroeg toen om 2 dagen te wachten (wat vreemd is want dan was het nog inderdaad een tiental dagen voor patch tuesday)).
Nee, MS vroeg aan Google om te wachten tot dinsdag 13 januari. In het bericht van MS naar de buitenwereld staat in normale woorden dat ze om 2 dagen hebben gevraagd, maar dat lijkt me gewoonweg een fout in het bericht, daar er verderop de specifieke datum staat waarop ze gevraagd hebben te wachten.

Het zou ook nergens op slaan, als iemand zegt "je hebt tot datum X" dan reageer jij niet met "wacht alsjeblieft nog 2 weken" want dat is niet bepaald specifiek. Je reageert met "wacht alsjeblieft tot datum Y".

[Reactie gewijzigd door .oisyn op 12 januari 2015 16:38]

In elk geval beter na 105 dagen een oplossing dan geen oplossing zoals bij de meeste Android toestellen.
En wie is Google om Microsoft 90 dagen te geven om dat te patchen? Wat niet weet is wat niet deert ... Er zijn misschien andere ergere lekken die voorrang hadden? Google heeft daar niets over te beslissen en al helemaal niet uit te brengen. Ik hoop dat MS Google hier dan ook op terugneemt / aanspreekt.
Microsoft en Google zijn concurrenten van elkaar. Niet alleen op het gebied van besturingssystemen, maar ook qua zoekmachines.

Je kunt het nu wel bagatelliseren, maar 90 dagen vind ik rijkelijk voor een beveiligingsprobleem. Ik bedoel; dat zijn drie maanden. Microsoft heeft gewoon een schop onder haar kont gekregen omdat ze der mening zijn dat ze als marktleider (op het gebied van besturingssystemen voor desktops) kunnen doen en laten wat ze willen.

Deze actie van Google zorgt ervoor dat MS zich de volgende keer wel bedenkt of dat ze tot op het laatste moment wachten met het uitbrengen van een patch. Het gaat tenslotte om de veiligheid van al die miljarden gebruikers. Daar denk jij veel te licht over volgens mij.
Als MS andere prioriteiten stelt van belangrijkere fixes die voor moeten gaan volgens hun ... Het kan zijn dat het zoiets geweest is. Google gaat hier grandioos in de fout en hoop dat ze terechtgewezen worden hiervoor. Hetzelfde dat ik tegen jou zeg dat ik weet dat de sleutel van je achterdeur onder het potje steekt, en dat ik je 90 dagen geef om het weg te halen. Na 90 dagen heb je het niet weggehaald en ga ik tegen heel het dorp zeggen dat jou sleutel onder het potje ligt. Leuk eh?
Hoe lang al controlleert Google apps in de Play Store maar halfslachtig, waardoor er een veel hoger percentage aan malware in staat dan in andere appstores?
Een beetje pot verwijt de ketel vind je niet?
Het is nog een vriendelijke geste van MS 3 maanden tijd te geven zou ik denken... Ze mochten het evengoed direct naar buiten brengen. Ik denk dat veel IT security mensen liever weten dat er ergens een ongepatched lek in hun systeem is, dan dat ènkel cybercriminelen dit weten. In het eerste geval kan je er tenminste iets aan doen (poort dichtzetten, services afzetten,...).
er is nog altijd zoiets als fatsoen
of willen ze er een wedstrijdje van maken om mekaar zwart te maken?
ik denk dat MS heus wel bugs kan vinden in Android of Chrome
En wat als it mensen van het lek weten. Dan kunnen ze het zelf repereren ?

Het huidige winwods, linux ios zit nog steeds voor bug. Het zijn alleen bug die we nu nog niet weten maar over x tijd wel.

Ik stel dus simpel dat ieder system op dit moment ongepatched is allen welke patches, die moeten nog gevonden worden. Als ze dus gevbonden worden meteen melden volgens jou.

Ik meld dan nu alvast haal je systeem offline er zitten bug in.
inderdaad , sinds wanneer is google de internet politie??
dat ze het lek bij MS melden is prima maar ze een termijn geven om het op te lossen vind ik maar raar
Als project zero erachter kan komen, dan ook black hats. Security by obscurity is geen security!
Kan zo zijn. Maar nu weet iedereen het. Kans op misbruik is dus stukken groter dan wanneer enkel hackers dit weten.
Bovendien, hebben goeie hackers dit lek überhaupt wel nodig?
Google speelt hier geen politie en houdt uit zichzelf het lek voor zich voor de gemelde termijn.
Als Google achter een lek komt is er ook geen 'internet politie' om hun te vertellen dat ze dat niet mogen doen.
De termijn die Google geeft om het lek te dichten lijkt me eerder een gift van Google dan een eis.

Het lijkt me ook sterk om te zeggen dat het een vereiste van Google is want na 90 dagen zullen ze het hoe dan ook bekend maken.

Van politie spelen is hier wat mij betreft geen sprake. Google verteld Microsoft van een fout in hun software, hierbij belooft Google ook deze fout een bepaalde termijn voor zich te houden. Om het vervolgens openbaar te maken.
Ik zie hier geen politiefiguur in.

[Reactie gewijzigd door DjThase op 12 januari 2015 19:48]

Het is niet aan Google om dat te bepalen. Als Microsoft iets langer nodig vindt te hebben dan zou het dus ook niet na 90 dagen naar buiten komen maar gewoon iets later. Nu bepaalt Google dat maar eventjes. Ach Google kan de deksel op de neus verwachten.
Het is wel aan Google om dat te bepalen, zij vinden immers het lek.
Ze stellen dat ze 90 dagen na het melden het lek openbaar maken en dat lijkt me een redelijke termijn om een lek te dichten.

Af gaan wijken van de gestelde termijn lijkt me geen goed idee, nu is tenminste duidelijk hoe lang het duurt voordat het lek openbaar wordt, als je gaat afwijken op verzoek is het pressiemiddel ook weg.
Het is wel aan Google om dat te bepalen, zij vinden immers het lek.
Ze stellen dat ze 90 dagen na het melden het lek openbaar maken en dat lijkt me een redelijke termijn om een lek te dichten.
Want? Jij weet hoe lang er voor nodig is om een gat te dichten en alles te testen in een complex programma als Windows? En degene die het ontdekt mag dat dus ook bepalen?

Stel dat ik zie dat jouw voordeur niet op slot zit, terwijl jij op vakantie bent. Dan bel ik je op om te zeggen dat je 8 uur hebt om alsnog te komen afsluiten. Zo niet, dan mag ik persoonlijk het inbrekersgilde inlichten, want ik heb het tenslotte ontdekt.

Beetje vreemde redenatie vind je niet?
Terwijl als je iemand belt om dat te zeggen zal hij heus wel iemand regelen die die deur voor hem op slot doet.
Een voordeur dichten is overigens ook iets anders dan een lek in software.

[Reactie gewijzigd door DjThase op 12 januari 2015 21:55]

MS mag blij zijn dat Google het niet direct aan het publiek gemeld heeft. Veiligheidsproblemen hoort men niet geheim te houden. Door het geheim te houden groeit de kans dat het probleem actief misbruikt word.
Door het niet geheim te houden geef je iedereen de mogelijkhid het te misbruiken. Door het geheim te houden zal de groep die het weet vrij klein zijn en zal eventueel misbruik een nog kleinere groep zijn, als die het al weten.

Daarnaast patchen kost tijd. Patch moet getest worden en het zal niet de eerste keer zijn dat een snel uitgebrachte patch andere problemen veroorzaakt.

dus de volgende stap volgens jou is dat google actief op zoek moet naar bug in windows en die meteen online moet zetten.
MS moet dat dan voor android doen en ook hup online.
Volgens jou is dit dan een goede cultuur om het voor iedereen veiliger te maken.
Patchen kost idd tijd, beter goed patchen en geen fouten makken idd. Maar 3 maanden/90 dagen is heel netjes denk ik.
MS of Google of wie dan ook moet weten dat ze niet zomaar een probleem ongepatch kunnen laten, er moet een stok achter de deur zijn. 2 Dagen is misschien kleinzerig van Google, maar 90 dagen vanaf september is altijd ergens in december geweest en heeft MS dus een 105 dagen nodig gehad...

Persoonlijk vind ik 3 maanden riant en als een bedrijf niet binnen die periode adequaat kan of wil reageren dan horen ze wat mij betreft aan de schandpaal in de hoop ze aan te zetten tot snellere actie in dit specifieke geval en in de toekomst.
Door het niet geheim te houden geef je iedereen een kans om zich er tegen te verweren. Door het geheim te houden krijgt een groep die het weet vrij spel om het te misbruiken.

Patchen kost tijd, dat zal je mij niet horen ontkennen. Maar als je op 3 maanden geen patch kunt schrijven en deze niet kunt testen, dan hoor je niet aan Windows te werken.

Google heeft MS ingelicht over een gevonden bug en heeft hen meegedeeld wanneer ze deze zouden openbaren aan het grote publiek (wat een automatisch proces is). Dat is volledig correct en perfect van MS gedaan. Het is niet omdat het ineens MS is dat zij een uitzondering moeten krijgen op hoe google hier mee omgaat.
Vind je je reactie zelf logisch klinken? Ik allesinds niet, kan je dat misschien verder uitleggen?
Zeker, "goede zaak"... Allerlei programma's en virussen kunnen nu ineens geïnstalleerd worden op zakelijke computers waar "normale gebruikers" de rechten niet voor hadden.

Uiteindelijk moet er een pressiemiddel zijn om fabrikanten aan te sporen, toch zijn dit soort zaken niet verstandig om naar buiten te brengen. Neem Google dan in de arm bij het laten zin van het "work in progress" zodat Google weet dat Microsoft misschien wel 95 dagen nodig heeft, maar het wel oplost.

Uiteindelijk ben jij hier de dupe van (bijvoorbeeld), vind je het dan nog steeds zo "goed"?

edit: ik was te traag, anderen waren sneller met typen :).

[Reactie gewijzigd door fredkroket op 12 januari 2015 09:47]

Dat is ook een beetje mijn punt, als Microsoft gewoon contact heeft met Google over dit soort zaken kan ik me echt niet voorstellen dat ze hard aan die 90 dagen vast houden, immers zal Microsoft op dag 85 dan wel aangeven dat ze wat langer nodig hebben.

Maar, Microsoft is Microsoft (zie het maar even als het Amerika van de software, ze hebben het erg hoog in de bol) dus ze melden waarschijnlijk helemaal niets, Google doet verder gewoon wat een gemiddelde 'digitale klokkenluider' doet, het online zetten na x periode, niets geks aan hoor.

Ben ik er blij mee dat de lek openbaar word? nee natuurlijk niet, maar hopelijk spoort dit Microsoft wel aan om voortaan sneller met patches te komen, alle tijd en resources die ze in Windows 10 gieten is leuk enzo (en het loont ook) maar ze moeten niet vergeten dat ze hun hele bedrijf hebben gebouwd op Windows, er 10tallen versies 'in het wild' zijn, en ze klanten tevreden houden door de boel veilig te houden, dat 'de gemiddelde consument' morgen in de krant leest dat ze meer dan 90 dagen spenderen aan een lek zet ze in een slecht daglicht, en dat mag best.
Je stelling is duidelijk, de gedachten komt ook overeen met zoals ik ze heb.

Echter bleek dit alles niet uit je "first-post", daarom reageerde ik daarop.
Maar, Microsoft is Microsoft (zie het maar even als het Amerika van de software, ze hebben het erg hoog in de bol) dus ze melden waarschijnlijk helemaal niets, Google doet verder gewoon wat een gemiddelde 'digitale klokkenluider' doet, het online zetten na x periode, niets geks aan hoor.
Dit spreekt wel tegen wat in het artikel staat, dat Microsoft voor een kort uitstel heeft gevraagd. Ik denk overigens dat Microsoft het echt niet zo hoog in zijn bol heeft als je wel wil beweren, er is heel wat aan het veranderen binnen Microsoft met het nieuwe management.
Ach consumenten vinden Windows XP nog geweldig, gebruiken Windows 7 want 8 is toch niets of updaten niet als er updates zijn. Bovendien zijn veel thuisgebruikers al Admin. Dat slechte daglicht zal wel meevallen.

Google staat wat updates betreft zelf in een slechter daglicht. Lollipop werkt nog niet naar behoren en lang niet iedereen mag updaten naar nieuwere versies van Android.
Je betaalt niet voor het gebruik van Android.

Daar komt nog bij, Android is gratis, en zelfs voor Windows (wat niet gratis is) krijg je geen updates naar nieuwe versies, dus waarom Google dat dan zou moeten doen snap ik niet helemaal? En toch doen ze het over het algemeen wel, dus dat zet ze dan wat mij betrefd juist in een goed daglicht?

En dat Lollipop nog niet naar behoren werkt is zeker niet acceptabel, maar ze hebben dan ook de complete app-engine vervangen, een nieuwe architectuur geintroduceerd, en de werking van themas aangepast, dus ergens kun je ze wel wat respijt geven, Windows is bijvoorbeeld nog nooit drastisch veranderd in 1 versie.
Dus omdat je iets gratis aanbiedt heb je opeens geen verantwoordelijkheid meer? 8)7
Wanneer door een lek in Android al je data op je phone door kwaadwillenden gejat of En crypt kan worden, denk je er dan nog zo over?
Als Windows na een verandering in de orde van grote als Lollipop niet goed zou werken zijn de rapen gaar.
Feit blijft dat Google een slecht product levert en dat vele mensen na een update met problemen zitten. Dat norm ik wel degelijk imago schade voor Android en dus Google.

[Reactie gewijzigd door Rivanni op 12 januari 2015 12:00]

Dus omdat je iets gratis aanbiedt heb je opeens geen verantwoordelijkheid meer?
Oh nee hoor, das zeker niet m'n stelling, ik vind echter wel dat Android iets meer respijt krijgt als het gaat om 'mayor versions' vanwege de genoemde punten. (je had het over dat niet iedereen mag updaten naar nieuwe versies, en daar reageerde ik dus op) Daarbij is het wel zo dat Google alle mogelijke patches steevast naar alle nodige devices stuurt (dit doen ze via Google play, sinds Android 2.2 geloof ik)

Daarbij zijn de problemen met Lollipop echt ook niet zo groot als men doet voorkomen, er zijn wat batterij en wifi problemen met een paar devices, ja, vervelend, maar je kan je device voor het merendeel van de tijd/zaken gewoon gebruiken, en ondertussen word de 5.0.1 patch al uitgerold, die deze zaken oplost. En het is ook niet zo dat precies hetzelfde probleem (bugs na een nieuwe release) niet bestaat op iOS en WP, die hebben gewoon hetzelfde probleem. Is het netjes? nee. Kan je ermee te leven? ja (omdat het toch opgelost word)

Android een slecht product noemen gaat trouwens een paar bruggen te ver.
Een pressiemiddel vanuit google om Microsoft hun patches sneller aan te laten brengen? Serieus? Als er 1 bedrijf is waarvan ik vertrouwen heb in het aanpakken van issues is het Microsoft. Het is niet alsof er nu voor het eerst in lange tijd een kritisch lek gevonden is. Het is een lek net als een aantal andere die niet gevonden zijn door het team van Google.

Vanuit google snap ik de beweegredenen wel, als ze zelfs voor Microsoft de openbaring niet verplaatsen dan zullen andere bedrijven ook sneller reageren.
Uiteindelijk ben jij hier de dupe van (bijvoorbeeld), vind je het dan nog steeds zo "goed"?
En daarom is de wereld dus een tyfuszooi, door z'n egoïstisch gedachten dat je eigen hachje de belangrijkste op aarde is...

Niet dat ik hier helemaal achter Google sta, maar niet omdat IK dan een virus krijg, juist voor andere die niet snappen hoe een computer werkt maar er wel 1 gebruiken...
Als jij normale gebruikers toegang geeft tot cmd.... Op een beetje fatsoenlijk netwerk werkt deze exploit niet.
Maar wat als een probleem zich door architectuur en dependencies niet in 90 dagen laat fixen? Daarnaast zijn er nog wel meer bugs te fixen. Dat kan Google ook overkomen. Google is hier gewoon verkeerd en onverantwoord bezig.
Na 90 dagen is zo'n bug ook al lang gekend bij cybercriminelen hoor... Als Google het openbaar maakt, kan je er jezelf tenminste tegen verdedigen. Als het een geheim blijft hebben criminelen vrij spel.
Jij misschien. De meeste mensen niet. Maar dat gun je ze wel?
Als er nu een paar zich kunnen verdedigen, of helemaal niemand, wat is dan het beste?
Verder springen ook AV-firma's op zo'n bug, en zal een deel van de grote massa ook via die weg beveiligd worden.
Nee, want als je moet wachten tot MS met een fix komt dan kan MS het zo lang laten liggen als ze willen. En als het lek bestaat, bestaat er ook een kans dat anderen het kunnen vinden en misbruiken. Dat wil je zo snel mogelijk gedicht krijgen.

En als men in de open source wereld kritieke lekken vaak binnen een dag gedicht krijgt, dan ga je mij niet vertellen dat MS aan 3 maand onvoldoende tijd heeft om het op te lossen en door hun testsystemen te halen.
Appelen en peren, een open source pakket met enkele duizenden zelfs honderd duizenden gebruikers is niet een OS met enkele honderden miljoenen gebruikers .

Het hangt ook van hoe moeilijk het op te lossen is. Niet elke kritische patch bij anderen word op 1 dag gepatched hoor .
Niets appelen met peren. Zowel Windows als Linux zijn veel gebruikte besturingssystemen. Dat je op de consumentenmarkt heel veel Windows ziet, betekend niet dat er niet enorm veel backend systemen zijn die op Linux draaien. Vele kritische systemen draaien net op Linux vanwege de openheid en de snelheid waarmee problemen aangepakt worden.

En nee, niet alles is op 1 dag te patchen. Maar als je op 3 maanden geen patch kunt schrijven en deze kunt testen, dan kan je beter collectief ontslag nemen.
Ja?

http://www.zdnet.com/arti...days-in-2012-report-says/

Linux trailed Windows in patching zero-days in 2012, report says
Summary:Zero-day flaws in the Linux kernel patched last year took on average more than two years to fix, twice as long as it took to fix those affecting current Windows OS, a report by security researchers has found.
Welk betalend open source pakket heeft enkele honderden miljoenen actieve gebruikers en een gelijkaardig patch systeem als windows ?
nou weet Microsoft namelijk (voor de volgende keer) dat ze ook echt 90 dagen hebben, en niet 92 dagen
Microsoft heeft zoals alle security bedrijven weten een vast patch schema.
Zelfs als je 3 maanden wilt aanhouden dan is het logisch om dan nog even te wachten tot na de patchdag.

Bovendien is het ALTIJD volstrekt ongepast om exploitatie code voor een ongepatched lek te publiceren .
Microsoft heeft zoals alle security bedrijven weten een vast patch schema.
Microsoft is geen security bedrijf. Ze hebben wel een afdelingen en een grote verantwoordelijkheid.
Zelfs als je 3 maanden wilt aanhouden dan is het logisch om dan nog even te wachten tot na de patchdag.
Ben ik het niet met je eens. Microsoft heeft zijn verantwoordelijk te nemen. Het hele concept van PT is wat mij betreft dan ook achterhaald. De digitale wereld anno 2014 gaat veel sneller dan pakweg 15-20 jaar geleden. Het geeft dan ook perfect de huidige staat van Microsoft weer. Het is een zeer bureaucratische bedrijf geworden (klagen ze bij Microsoft intern ook veelvuldig over). Dit kan dodelijke zijn voor een tech bedrijf.
Bovendien is het ALTIJD volstrekt ongepast om exploitatie code voor een ongepatched lek te publiceren .
Nope, er zijn situaties van wel maar deze absoluut niet. Voorbeeld wel: wanneer je weet dat er volop aan de patch gewerkt wordt, het zeer complex is en de gevoeligheid voor infectie zeer hoog is.
Microsoft heeft de recources, de gevoeligheid is medium (je moet al toegang hebben), over de complexiteit kan ik me niet uitlaten.
Het hele concept van PT is wat mij betreft dan ook achterhaald.
Als het gaat om consumenten apps dan is een vaste patchdag niet boeiend maar als het gaat om besturingssystemen die vaak 24/7 actief zijn dan is het heel wenselijk dat onderhoud waarbij mogelijk het besturingsysteem volledig moet afsluiten en opstarten van te voren is aangekondigd.
Gebruikers raken minder snel in de stress als er een vast patroon zit in patches en bedrijven kunnen bij hun planning rekening houden met een patchdag voor zaken rondom beschikbaarheid en voor aanwezigheid personeel

[Reactie gewijzigd door 80466 op 12 januari 2015 10:54]

Als het gaat om consumenten apps dan is een vaste patchdag niet boeiend maar als het gaat om besturingssystemen die vaak 24/7 actief zijn dan is het heel wenselijk dat onderhoud waarbij mogelijk het besturingsysteem volledig moet afsluiten en opstarten van te voren is aangekondigd.
Dat kan wel zo zijn maar dan spaar je toch op? Lijkt me niet echt moeilijk.
Gebruikers raken minder snel in de stress als er een vast patroon zit in patches en bedrijven kunnen bij hun planning rekening houden met een patchdag voor zaken rondom beschikbaarheid en voor aanwezigheid personeel
Is voor gebruikers bij Android toch ook niet, ik hoor er niets over in mijn omgeving. Nooit forums opgezocht maar mensen zijn wel wat gewent en liever wat ongemak dan een onveilig systeem.
Bij bedrijven van kan je het ook wekelijks inplannen....

Ik blijf erbij, het idee achter PT is gewoon zwaar achterhaald.

[Reactie gewijzigd door Floor op 12 januari 2015 11:24]

Is voor gebruikers bij Android toch ook niet, ik hoor er niets over in mijn omgeving.
Krijgt Android elke maand patches dan ?
Bij bedrijven van kan je het ook wekelijks inplannen....
Bedrijven hebben liever MINDER patchdagen dan meer. Een maandelijkse is gewoon een afweging die Microsoft als leverancieer heeft gemaakt rekening houdene met hun klanten.
Veel klanten zijn daar tevreden mee. Waarom zouden die cowboys van Google dan een andere releasetijd moeten proberen af te dwingen door dwars te gaan liggen?

[Reactie gewijzigd door 80466 op 12 januari 2015 15:21]

Ik snap niet waarom je -1 krijgt, ik kan je helaas niet modden.

De verwijzing naar Android is dat er geen regelmaat in zit.
Wanneer patches sneller beschikbaar zijn heb je tenminste de keuze om ze eerder uit te rollen. Dat je als bedrijf dan maar 1x per maand dat doet, is je eigen keuze en ook eigen risico.

Google zijn geen cowboys, ze dragen zelfs fouten aan. Door Microsoft maar een beperkte patch tijd te geven willen ze Microsoft dwingen om nu eindelijk eens wat sneller te gaan werken. Neem daarbij vooral in je achterhoofd dat er maar weinig partijen zijn die dit voorelkaar kunnen krijgen. Microsoft luistert niet naar piet-teun-ict om de hoek. Andere bedrijven zijn niet zo scheutig met zoeken naar fouten van andere ;)
Hoogste prioriteit zal wel meevallen:
Daarvoor moet een gebruiker wel een geldige login hebben en fysieke toegang hebben tot het apparaat.
Mocht het zo zijn dat er geen fysieke toegang én geldige login nodig was, dan zou het wel de hoogste prioriteit hebben gehad vemoed ik.
Slechte en tendentieuze vergelijking. De maffia veroorzaakt problemen waar ze zelf een oplossing voor biedt. Bedreigen en daarna zelf bescherming bieden tegen die eigen bedreiging.

Google veroorzaakt niet de bug, maar attendeert Microsoft er alleen op. Google heeft (behalve het melden) geen rol van betekenis bij het oplossen van de bug. Het zijn niet de Google-developers die ineens worden ingehuurd door Microsoft.
Los van het feit dat security through obscurity een bizar slecht idee is creëert Google wel degelijk een extra probleem door het openbaar te maken. Het is niet aan Google om dit "beleid" te beoordelen of zelfs aan te pakken.

Ze vinden een probleem en dreigen met consequenties wanneer het niet volgens hun eisen opgelost wordt. Gebeurt geheel eenzijdig. Dat is een vorm van chantage, wat iets is dat de maffia ook doet. Dus hoe krom is de vergelijking?
Google levert een bijdrage aan de beveiliging van Microsoft-producten door in detail lekken te melden aan Microsoft. Er zijn genoeg partijen die lekken direct openbaar maken of er zonder publicatie misbruik van te maken. Google maakt het pas na 90 dagen openbaar. Dit "beleid" is van Google zelf overigens.

Dat het geheel "eenzijdig" gebeurt, is logisch. Dat Google in overleg met Microsoft bepaalt of wanneer gepubliceerd wordt welke beveiligingsrisico's er zijn (NB: al zijn, niet komen), zou pas echt raar zijn. Dat is voer voor complottheorieën, beschuldiging van machtsmisbruik, etc.

Edit n.a.v. @JumperM: het is inderdaad niet de discussie of Google moet publiceren, maar wanneer het gebeurt.

[Reactie gewijzigd door StephanVierkant op 12 januari 2015 11:32]

Maar dat is nu net niet waar de hele discussie over gaat. Hetgene waar Microsoft een beetje verbolgen over is, is dat Google niet twee weken heeft willen wachten. Ja, Google maakt "eenzijdig" een proces aan, maar Microsoft heeft Google wel degelijk gevraagd om te wachten met het publiceren van de bug tot na patch tuesday (wat de tweede dinsdag van de maand is). Ze hebben niet gevraagd om helemaal niets te publiceren, ze hebben gevraagd of ze tot na patch tuesday wilden wachten.

Uiteraard is Microsoft blij met dat security afdelingen (van welk bedrijf dan ook) lekken vinden en deze melden. Het probleem zit hem in de 90 dagen deadline. Microsoft heeft om uitstel to na patch tuesday gevraagd, maar Google was zo stoer om te stellen dat ze interne regels hebben bedacht om na 90 dagen te publiceren en nu doen ze dat ook. Dat is bizar. Dat je regels hebt om pressie te verkrijgen is logisch, maar als je om een paar weken uitstel wordt gevraagd dan moet je in het belang van de gebruiker (want dat is waar Google claimt waarom ze dit doen) gewoon even wachten.
Aan de andere kant: MS had ook eerder dan 'patch tuesday' een patch uit kunnen brengen. Google heeft misschien een wat rare interne procedure, MS heeft met zijn maandelijkse patch tuesday eigenlijk nog een veel vreemdere. Als een lek bekend is, zou je zo snel mogelijk een patch uit moeten brengen, en niet wachten op een speciale dinsdag, omdat dat 'gebruikelijk' is. Zeker als je weet dat het lek binnenkort openbaar wordt.
Als Google tot doel had om Microsoft te dwingen tot een andere manier van patch releasen en dus meent dat Microsofts interne proces van het afhandelen van bugs en releasen van patches niet goed is (naar Googles standaarden) dan denk ik dat er toch wel beter manieren zijn om dit te communiceren.

Dit was niet in het belang van de consument. Google claimed dat project zero is opgericht om de consument veiliger op het web te kunnen laten surfen. Ik snap niet hoe dit tot meer veiligheid heeft geleid, of beter gezegd, dat heeft het niet.
Precies. Als MS zegt, we hebben 120 dagen nodig ipv 90 ivm uitgebreide tests, dan zou Google daarin mee moeten gaan, zeker als MS uitlegt waarom het zo lang moet duren. Als MS dat op dag 89 zegt, dan zijn ze fout bezig, maar als ze dat na een of twee weken zeggen, dan is het OK. Als MS zegt dat ze 9 maanden nodig hebben, dan mag Google zeggen: zoek het zelf lekker uit, na drie maanden maken we het lek openbaar.

Dat Google druk zet op de ketel, dat is goed, en dat zoiets een keer tot voortijdige publicatie leidt, daar hebben ze vast heel goed over gepraat bij Google. Het zendt een signaal uit, en maakt duidelijk dat MS vaart moet maken.

Het draait allemaal om redelijkheid.
Dus omdat andere partijen het direct doen is Google ineens goed bezig? Ben jij dan ook het type dat bij de verkeersagent klaagt dat andere mensen veel harder rijden dan jij?

Google levert ongevraagd een "bijdrage" en doet dit ook nog eens op eigen voorwaarden, dat is gewoon niet netjes. Dat het eenzijdig gebeurt is dus niet logisch, dat is het maffiagedeelte.

Tuurlijk is het wenselijk dat problemen opgelost worden, maar als bedrijven politie gaan spelen voor elkaar en eigen rechter gaan spelen is het hek snel van de dam. Waar trek je dan de grens?
Maar wat wint Google erbij behalve "jullie hebben dit niet gepatched, dom hoor"?

Het is imo niet aan Google om dit naar buiten te brengen.
Dezelfde soort van baten als dat Google heeft bij een sneller internet als geheel. Dat is ook de reden waarom ze oorspronkelijk Chrome hebben ontwikkeld, SPDY hebben ontwikkeld, aan WebM/WebP werken, enzoorts.. Hoe beter en sneller het internet is, hoe meer mensen online doen, hoe meer advertentieinkomsten Google ontvangt.

Slechte security van een partij als Microsoft straalt slecht af op de industrie als geheel. Een slecht imago van online security als geheel zorgt er weer voor dat mensen meer terughoudend zijn bij online shoppen. En dus minder Google gebruiken om producten te vinden, waardoor Google dus advertentieinkomsten misloopt.
Ik begrijp misschien niet helemaal wat wat je probeert te zeggen maar het klinkt behoorlijk tegenstrijdig. Google heeft dit gedaan omdat ze gebaat zijn bij een beter internet en dat de "slechte" security van Microsoft afstraalt op de gehele industrie? Dan is het toch juist slecht dat Google dit heeft gedaan? Microsoft verteld Google dat ze het probleem gaan patchen, maar vraagt Google twee weken uitstel met het publiceren vanwege intern beleid genaamd "patch tuesday", maar Google wijgert dat en gaat toch door met publiceren? Klinkt niet alsof Google de industrie in een goed daglicht wil brengen.
Ik snap je logica, maar kennelijk kun je dus concluderen dat Google het principe van security belangrijk genoeg vindt om niet puur en alleen maar om het imago te geven.

Als ze nu Microsoft tegemoet waren gekomen dan had dat inderdaad beter geweest voor het imago, maar tegelijkertijd had het een precedent geschept dat Microsoft laks kan blijven, want Google wacht dan toch wel op ze. En waar trek je trek je dan grens? Vergeet niet dat 90 dagen best lang is, en dat iedere dag dat ze wachten de kans bestaat dat anderen het lek ook vinden (om maar te zwijgen over de mogelijkheid dat werknemers intern bij Google en/of Microsoft de lekken doorspelen naar de zwarte markt).

Ze werken dus niet alleen aan het imago, ze proberen daadwerkelijk de algehele security te verbeteren (wat uiteindelijk beter werkt om vertrouwen te winnen dan puur schijn op te houden).

[Reactie gewijzigd door arendjr op 12 januari 2015 15:32]

Imagoverlies voor de grote concurrent?
Je moet het gewoon zien als Google dat de wereld waarschuwt dat er een gevaarlijk lek in software zit. Google pakt helemaal geen beleid aan, ze bewijzen de wereld gewoon een dienst.
Ongetwijfeld. Maar dat zegt de gemiddelde "vrijheidsstrijder" ook. Wie toetst dit dan? Google neemt het recht in eigen handen, dat is gewoon niet wat een bedrijf moet of mag. Het doel heiligt niet de middelen.
Ze geven gewoon informatie vrij, meer niet. Er is heus niemand die hier slechter van geworden is.
Je vergeet even het feit dat het ook mogelijk is dat anderen dan Google het issue al gevonden hadden en het niet gepubliceerd hebben?

Doordat Google het probleem publiceert hebben gebruikers tenminste nog de kans om maatregelen te treffen totdat Microsoft het issue opgelost heeft. Voor dit issue zou het bijvoorbeeld mogelijk zijn om bij kritische systemen tijdelijk normale users geen toegang te geven tot een bepaald systeem, om te voorkomen dat ze hun rechten upgraden.

Als Google dit issue niet publiceert is die workaround ook niet meer mogelijk, terwijl het wel mogelijk is dat er mensen rondlopen die het issue ook gevonden hebben.
Nee, maar Google bepaald wel even dat als je te laat bent met de oplossing iedereen dan maar gebruik mag maken van het lek. Want daar komt het wel op neer. De mafia vergelijking is idd niet terecht, maar het is wel raar dat Google dit allemaal zo maar mag doen. Wat is nou erger? Een lek dichten wat misschien langer duurt dan 90 dagen om het te ontwikkelen (want daar kunnen wij niet over oordelen denk ik lang iets moet duren) of dat de hele wereld na 90 dagen info heeft hoe ze een systeem moeten binnen komen, omdat Google dat zo beslist? Wat zal het volgende worden bij Google? Je hebt je verwarming te hoog staan al 20 dagen, als je dit niet aanpast dan gaan we dit melden?
Als jij je verwarming te hoog (whatever that may be) hebt staan, is dat jouw probleem. Jij verstookt meer kosten. (milieuschade buiten beschouwing gelaten, laten we de discussie beperken).

Bij een lek in Microsoft-software heeft Microsoft niet eens directe schade. Het zijn de gebruikers die de dupe zijn. Dat zorgt uiteraard voor imagoschade, maar bij onbekendheid is die er zelfs niet eens.

Bij openbaarheid kunnen hackers inderdaad toeslaan, maar kun je als gebruiker (more likely: systeembeheerder) er voor kiezen om de software niet te gebruiken of zelf maatregelen te treffen.

@hieronder: dat je Google's hard- en software voor consumenten erbij haalt, is nogal vergezocht.

[Reactie gewijzigd door StephanVierkant op 12 januari 2015 11:01]

Beetje kort door de bocht als ik eerlijk ben. Het gaat mij om dat Google maar beslist dat zij een lek openbaar maken van software die niet eens van hun is. Het voorbeeld van de verwarming is gegeven als feit wat er kan gebeuren als je zulke bedrijven maar hun gang laat gaan. Bovendien wil Google in de toekomst je hele huis uitrusten met google software/hardware dus het is niet zo vreemd om te denken dat dit zou kunnen gebeuren.

Het is niet altijd zomaar mogelijk om de software niet te gebruiken, je kunt je software/OS niet zomaar even uit zetten en/of zelf maatregelen nemen (want als dat zo was, dan zou je geen patches nodig hebben). Dat de gebruikers de dupe zijn is idd zo, die zijn er niet mee geholpen als een bedrijf een lek gaat openbaren zodat hackers hun gang kunnen gaan. Het is meer van wij bij Google beslissen wel hoe andere bedrijven hun lekker moeten oplossen, dat kan nooit goed zijn.

Maar ieder zo zijn mening, dit is de mijne.
Het bedrijf stelt dat beveiligingsproblemen pas naar buiten zouden moeten worden gebracht als het probleem is opgelost. Dat zou gebruikers beter beschermen tegen misbruik van het beveiligingsprobleem.
Ik stel dat beveiligingsproblemen naar buiten moeten worden gebracht als het probleem niet wordt opgelost. Dat zou klanten beter beschermen tegen beveiligingsproblemen waar hun softwareleveranciers niets tegen doen.

Responsible disclosure is in dit geval goed uitgevoerd door Google. Microsoft had drie maanden om het probleem op te lossen en hebben dit niet gedaan. Dat waren twee eerdere reguliere patchrondes waar zij er iets aan hadden kunnen doen.
"De beslissing van Google voelt niet principieel aan, maar meer als een gotcha, waarbij consumenten de dupe zijn", schrijft Chris Betz van de beveiligingsafdeling van Microsoft.
Hou je gevoelens voor je en doe je werk. Emotie heeft niets te zoeken in informatiebeveiligingsland.

[edit]
Even nagelezen. Het ligt wat genuanceerder:
CVD philosophy and action is playing out today as one company - Google - has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so. Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13, when we will be releasing a fix.
Microsoft heeft aan Google gevraagd om het bericht uit te stellen tot de komende dinsdag. Nog steeds is Microsoft te laat en kan Google een 'zero tolerance policy' uitvoeren m.b.t. beveiliging, maar Google had wat ook wat professioneler kunnen zijn door nog even te wachten.

Beide spelers hebben iets fout gedaan: Microsoft levert niet op tijd en speelt in op emoties, terwijl Google bijzonder streng is in hun beleid en Microsoft niet de ruimte geeft om het goed te maken. Leer ervan, ga geen modder gooien, en op naar het volgende avontuur.

[Reactie gewijzigd door The Zep Man op 12 januari 2015 09:58]

Responsible disclosure is in dit geval goed uitgevoerd door Google. Microsoft had drie maanden om het probleem op te lossen en hebben dit niet gedaan. Dat waren twee eerdere reguliere patchrondes waar zij er iets aan hadden kunnen doen.
En wie is er het beste in staat om te beoordelen wanneer een patch afdoende af is om uit te rollen naar tientallen miljoenen computers, oftewel getest op alle mogelijke configuraties qua patch level en hardware, en grondig doorgetest op dat er geen nieuwe, wellicht ernstiger, gebreken worden geintroduceerd door de patch? Het is aan jou noch Google om te beoordelen wanneer het verantwoord is om een patch uit te rollen. Ik ben benieuwd of jij net zo'n kortzichtige reactie had gepost als ze vorige maand de patch al hadden gereleased, en je daarna ieder uur een BSOD had. Dan had je net zo tendentieus zitten vloeken dat MS z'n patches beter moet testen voor ze ze uitrollen gok ik zo.

Wat Google hier heeft gedaan is ronduit onverantwoordelijk. Microsoft heeft de melding serieus genomen, en tijdig melding gemaakt van dat ze 90 dagen net niet gingen halen. Google had, zeker gezien de ernst van het lek, daar gewoon de ruimte in moeten geven, in plaats van kinderachtig concurrentje pesten onder het motto "rules are rules". Vooral omdat het hun eigen regels zijn die ze makkelijk kunnen naleven omdat ze producten met de complexiteit, diversiteit en enorme install base van Windows zelf ontberen.
Microsoft levert niet op tijd
Waarom is dat niet op tijd.
Omdat Google zo nodig wil voorschrijven wanneer bedrijven moeten patchen?
Microsoft levert gewoon op hun vaste patchdag.
Dat is prima op tijd zeker voor een niet hoog kritisch lek dat nog niet publiek bekend is

Het lijkt me bovendien dat Microsoft veel beter in staat is om te oordelen wat hun klanten aan patches wanneer nodig hebben dan Google dat kan zien.

[Reactie gewijzigd door 80466 op 12 januari 2015 10:33]

Wat heeft Microsoft hier exact fout gedaan? Het is hun policy om patches de tweede dinsdag van de maand uit te brengen tenzij die heel kritiek zijn. Moeten ze dan maar gewoon systeembeheerders tegen het been schoppen omdat een derde partij irritant doet?
En zo zijn er dus al 2 eerdere patchrondes geweest, dus dat dat de 2e dinsdag hun gebruikelijke patchronde is, mag geen excuus zijn. Google had ze 3 maanden gegeven.

Nu is het google die het lek had gevonden en geeft heel coulant ruim de tijd om dit te patchen. Was dit door een anon hackergroep ontdekt, dan was de informatie direct naar buiten gelekt, of helemaal niet om in de underground scene alleen bekend te blijven.
En ondertussen patcht Google zelf geen lekken in Android versies die door 1 miljard gebruikers gebruikt wordt: http://www.neowin.net/new...ffecting-nearly-1bn-users. Want 4.3 en daarvoor zijn niet de meer recente versie, terwijl 5.0 nog steeds maar een aandeel van 0,01% heeft, resultaat is meer dan 60% van de Android devices is kwetsbaar. We hebben het hier over 11 exploits, trouwens. Is dat wel een goed excuus?

Google is een bedrijf, geen hackercollectief. Zeker met de maan december in die 90 dagen periode, en met de kennis dat die patch bestond en uitgerold zou worden met Patch Tuesday, is het vrijgegeven van die informatie - MET een proof of concept! - gewoonweg kinderachtig en een gevaar voor de gebruikers.

[Reactie gewijzigd door Loller1 op 12 januari 2015 18:01]

Dat is dus juist prima, als er dan ook snel en adequaat gehandelt wordt. Google vond van niet, en heeft zijn "dreigement" uitgevoerd. Zal je leren security leaks maar snel te dichten. Ze hadden 3 maanden, tijd zat.
Maar het rare is Google heeft niet 2 dagen maar 10 dagen voor de tijd al open baar gemaakt.
of zijn ze pas gisteren achter gekomen dat Google de fout open baar heeft gemaakt?
Het is heus niet zo dat dit lek nu pas misbruikt gaat worden door cybercriminelen. De kans is héél groot dat de bug al gebruikt werd, en met iedere passerende dag wordt die kans alleen maar groter. En dan heeft Google de keuze om te wachten tot MS het probleem oplost (en elke Windows gebruiker dus kwetsbaar is gedurende die periode!) of om het probleem openbaar te maken zodat gebruikers/systeembeheerders/AV-bedrijven zichzelf kunnen wapenen tegen hacks.
Het is heus niet zo dat dit lek nu pas misbruikt gaat worden door cybercriminelen. De kans is héél groot dat de bug al gebruikt werd, en met iedere passerende dag wordt die kans alleen maar groter
De werkelijkheid is heel anders. Lekken die door Microsoft gepatched wroden voordat ze publiekelijk bekend zijn, worden in de praktijk vrijwel nooit misbruikt.
Lekken die publiekelijk gemaakt worden voordat er een patch is uitgebracht worden juist wel heel veel misbruikt
Dit wordt ook duidelijk vermeld in het blog bron artikel
Of the vulnerabilities privately disclosed through coordinated disclosure practices and fixed each year by all software vendors, we have found that almost none are exploited before a “fix” has been provided to customers, and even after a “fix” is made publicly available only a very small amount are ever exploited. Conversely, the track record of vulnerabilities publicly disclosed before fixes are available for affected products is far worse, with cybercriminals more frequently orchestrating attacks against those who have not or cannot protect themselves.
Het zijn dus bijna altijd juist de acties van Google en andere security onderzoekers die over nog niet gepatchte lekken publiceren die malwaremaker triggert om die lekken te misbruiken.
Malwaremaker vinden dus zelf bijna helemaal geen lekken maar wachten op publicaties over ongepatchte lekken. Liefst met exploitcode kant en klaar van metasploit.
Lekken kunnen makkelijk tien jaar openstaan maar zodra er door security onderzoekers over gepubliceerd wordt kan er in een week (of korter) malware zijn die het lek misbruikt.
Ja die twee dagen maken weinig uit. Het is echt zulke onzin dat ze oneindig te tijd zouden moeten hebben om de boel te fixen.
Laten we vooral niet vergeten dat Microsoft marktleider is met zijn OS voor consumentengebruik. Laten we daarnaast ook vooral niet vergeten dat Microsoft een miljardenbedrijf is.

90 dagen voor een securitylek is royaal; ongeacht de impact op het systeem.

Het is de keuze van MS om op een bepaalde dag updates uit te rollen. Linux distro’s geven updates aan de lopende band uit en is tevens de meestgebruikte software voor servers. Het excuus om sysadmins rust te gunnen gaat hier niet op; in 2015 dien je gewoon je security en processen op orde te hebben.
90 dagen is niet royaal. Je kent de impact van het probleem niet. En daar komt nog eens bij dat in die 90 dagen ook de feestdagen vallen. Google weet goed genoeg wat Microsofts policy is voor het uitrollen van updates. Google zou daar rekening mee moeten houden. Je kant dit soort informatie misschien wel uitbrengen om "druk te zetten op Microsoft", want dat was Googles statement, maar als dan later blijkt dat Microsoft hen nog voor het verstrijken van die 90 dagen periode had gevraagt dit uit te stellen omdat die patch klaar stond om uitgerold te worden? Dat is gewoon kinderachtig. O:

Laten we vooral niet vergeten dat Google marktleider is met zijn OS voor consumentengebruik. Laten we daarnaast ook vooral niet vergeten dat Google een miljardenbedrijf is. Laten we ook niet vergeten dat Google 63% van zijn gebruikers wat veiligheid bij het grof vuil zet, met maarliefst 11 exploits (enkel en alleen deze maand al): https://community.rapid7....view-jelly-bean-and-prior.
Linux distro's behoeven daarentegen ook minder reboots
De volgende keer zal het beveiligingsteam van Microsoft echt wel allerter reageren op een melding van Google. Daarmee kan het wel degelijk zo zijn dat het uiteindelijk ook voor de consument een veiliger product oplevert. Raar dat als ze meer dan 90 dagen nodig hebben Microsoft niet in overleg is getreden met Google en om uitstel van publicatie heeft gevraagd. Nu het ineens bij de komende patch-tuesday kan, lijkt het mij ineens toch wel snel te kunnen.
Nu het ineens bij de komende patch-tuesday kan, lijkt het mij ineens toch wel snel te kunnen.
Hoezo "nu ineens"? De patch is blijkbaar al klaar en getest. Maar om Adobe/Java/Linux toestanden met iedere paar uur een patch te voorkomen rolt Microsoft iedere dinsdag een batch patches uit.

Nee, de volgende keer gaat het team van Microsoft niet allerter reageren. Daar hebben ze namelijk geen enkele reden voor. Ze hebben het probleem opgelost en tijd genomen om te kijken of de oplossing voldoet. Daarna rollen ze de oplossing uit. Dat is normale procedure en dat zal niet veranderen omdat er ergens een klein kind "Kijk! Kijk! Ik heb iets gevonden wat hunnie nog nie gevonden hadden!" schreeuwt gaat dat nog niet zorgen voor een aanpassing aan een werkend proces.
Precies, de patch is klaar en getest. Had dus eerder vrijgegeven kunnen worden (goed voor de veiligheid van de gebruiker) en had voorkomen dat Google de kwetsbaarheid had vrijgegeven. Dus wie is er nou fout ?
Je beseft toch dat bedrijven niet zomaar ongeteste patches op hun systemen kunnen gooien?

Om niet elke dag te moeten testen met nieuwe kritieke releases bundelt MS deze zodat die gestroomlijnd getest en op een netwerk kan gezet worden . MS heeft meer gebruikers dan jouw PC thuis hoor .


Ik zie geen reden dat google dit niet weet en zelf zo werkt en dus geen reden waarom google niet 2 dagen had kunnen wachten.
Deze patch was al klaar en getest, anders hadden ze deze niet meegenomen in de "Patch Tuesday" ronde. Microsoft dacht dat Google een rondje blufpoker aan het spelen was maar kwam in dit geval van de spreekwoordelijke koude kermis thuis.

MS moet gewoon flink zijn en de wonden likken in plaats van online te gaan jammeren hoe gemeen Google is. Soms win je, soms verlies je. Zo werkt het nu eenmaal in het leven.
Dat die patch klaar was of niet maakt niet uit. Nogmaals je hebt duidelijk geen idee wat zo een patch voor een groot bedrijf aan werk meebrengt.
MS kijkt naar al haar klanten .

Google daarentegen had eigenlijk geen enkele reden om het al uit te brengen en niet 2 dagen te wachten.


Je beetje over blufpoker is klinklare onzin btw, gewoon afsparekn met bedrijven om niet teveel keren patches uit te brengen .
Adobe/Java/Linux toestanden? Je bedoeld ernstige lekken meteen dichten? Ja, dat is inderdaad verschrikkelijk. Dit is veel beter! ;)
Adobe, Java en Linux zijn ondertussen zo ver doorgeschoten dat de meeste mensen de update notificatie negeren. Simpelweg omdat je anders veel te vaak zit te wachten op updates in plaats van dat je je werk kunt doen. Dat "Security through annoyance" concept werkt niet. Het gevolg is dat je systeem juist minder veilig wordt omdat ook écht belangrijke updates door de gebruiker genegeerd worden.

Als er slechts één keer per week updates nodig zijn, en dan ook nog altijd op hetzelfde moment, dan is dat in het proces in te passen. Updates worden niet meer genegeerd en het systeem is dus veiliger.

Een onbekend lek hoeft niet meteen gedicht te worden. Daar wordt de wereld helemaal niet veiliger van. Zeker zo'n onbeduidend lek als dit (de gebruiker moet al aangemaakt zijn op het systeem én fysieke toegang hebben. Dat is nauwelijks een lek te noemen).
Zelf met linux weinig last van. Aantal update momenten vind ik zelf wel meevallen. Verder kan je de update rustig uitvoeren zonder dat het verder effect heeft op draaiende programma's / systeem. Ook herstart kan je gewoon uitstellen tot je er zelf aan toe bent. Dus geen reden om de updates te negeren. Misschien dat sommige mensen dat wel doen, maar geloof ook niet dat ze het één keer per maand het updaten dan opeens wel direct zouden doen.
Dit dus, jaren terug viel MS ons lastig met hun 2dagelijkse cycle van updates op XP. En nu start ik meerdere keren per week Debian op en is het altijd raak... "new updates are available".
Als ik win7 installeer is het de eerste week ook zo'n feest.

Tegenover nu elke maand een keertje "windows needs a restart within 24hours". (ook niet elke maand maar 9/10 gevallen).
True, maar herstarten doe ik zelf wel op debian afhankelijk van wat er ge-update word. Vooral als er in een batch 150updates ofzo klaar staan.
Waarom zouden ze de volgende keer wel sneller reageren? het is niet alsof het team van google voorrang heeft op alle andere meldingen....

En zoals het artikel aangeeft, HEEFT microsoft dus ook aan google gevraagd om nog enkele dagen te wachten met het publiceren van de informatie, maar heeft google dat gewoon naast zich neergelegd..
De volgende keer zal het beveiligingsteam van Microsoft echt wel allerter reageren op een melding van Google
Dat kan dan alleen maar in het nadeel zijn van de consument.
Nu zal Microsoft logischerwijs belangrijke voor de afnemers gevaarlijke lekken prioriteren in patches en straks moeten ze door google gemelde lekken prioriteren waardoor mogelijk belangrijkere lekken langer open zullen staan.

[Reactie gewijzigd door 80466 op 12 januari 2015 10:34]

Er staat duidelijk op de bug-report-pagina:
"This bug is subject to a 90 day disclosure deadline. If 90 days elapse without a broadly available patch, then the bug report will automatically become visible to the public."
Gaat dus volautomatisch na 90 dagen. Niet dat iemand bij Google met z'n vinger op een knopje drukt om Microsoft te willen naaien.
Het is niet alsof Google dat niet kan stop zetten tot dat die patch beschikbaar was... Ze wisten al op voorhand at hij er was...
Dat is wel vaak het excuus van Google. Alles gaat automatisch dus we nemen geen verantwoordelijkheid.
Niet dat het in alle gevallen fout is , maar wel iets zorgelijks.
Toch bizar dat ze dit in een blogpost wereldkundig maken en niet gewoon de telefoon pakken en een meeting plannen met Google om de problematiek aan te pakken.
Dat hebben ze toch gedaan, staat in de tekst. Google zoekt dus publiciteit, boven oplossing, anders wacht je die 15 dagen wel.
Nee, want als MS het dan weer niet oplost, wat ga je dan doen? Nog maar eens een maand wachten?

Als de FOSS gemeenschap op enkele uren een kritiek probleem kan patchen, waarom lukt MS het dan niet op 3 maanden? Lijkt me dat daar iets grondig misloopt.
Je vergelijkt nog geen eens appels met peren natuurlijk.
daarnaast is het in de FOSS wereld zo dat iemand zijn onderdeeltje fixed, maar je hebt geen enkele garantie dat dit geen verder problemen in distributies of in combi met andere zaken gaat geven, dat proces mag je zelf nog helemaal uitvogelen.
Juist omdat de FOSS-wereld zo versnipperd is, maakt het het patchen makkelijker.
Duidelijk gedefineerde interfaces maken testen simpel.
Automatische test op je API's en je weet direct of je patch iets kapot heeft gemaakt.
Ik vind het juist goed dat microsoft druk voelt om lekken te patchen. 3 maanden lijkt mij meer dan genoeg, als je een deadline stelt van 4 maanden krijg je hetzelfde (dan is 4 maanden te kort).

Nu staat microsoft onder druk om zijn product te verbeteren voor zijn klanten en zo snel mogelijk nu het bericht naar buiten is gebracht door google.

En wat voor risico lek is dit precies, het is niet iets wat op afstand door een of andere hacker uit te voeren is en al je login codes krijgt oid;

"Het beveiligingsprobleem zorgt ervoor dat een reguliere gebruiker op Windows 8.1 zonder toestemming administrator-rechten krijgt. Daarvoor moet een gebruiker wel een geldige login hebben en fysieke toegang hebben tot het apparaat"
Yep. Maar het maken van de patch zal niet zo heel veel effort kosten voor MS. Het testen op verschillende configuraties echter, dat kost veel tijd.
Het mooie ervan is; als ze een patch rushen en hierbij vallen weer random wat configuraties om dan valt heel de wereld ook weer over MS heen. Het is gewoon niet netjes van Google uit. Alsof zij zo netjes en op tijd hun mobiele besturingssysteem patchen bijvoorbeeld.. Zou wat zijn als MS ook voor Android allerlei lekken zou publiceren.. Om zodoende "Google te pushen".

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True