Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 398 reacties

Ondanks forse kritiek van Microsoft heeft Google wederom ongepatchte beveiligingslekken in Windows bekendgemaakt. Het eerste lek is niet echt noemenswaardig, maar de tweede is kritieker en betreft een kwetsbaarheid in de versleuteling.

Windows logoDe eerste kwetsbaarheid gaat om de manier waarop Windows 7 bepaalde rechten van een administrator controleert alvorens bepaalde powerfuncties te mogen gebruiken. De functie heet NtPowerInformation en treft Windows 7, maar zowel Google en Microsoft vinden het lek te klein voor een fix. Google heeft de status dan ook gewijzigd in 'gesloten'.

Een andere bug die aan het licht kwam legt bloot dat data is te onderscheppen in Windows. Het besturingssysteem controleert namelijk niet op juiste wijze de identiteit van gebruiker bij het gebruik van versleutelde gegevens. Microsoft kent het probleem en wilde volgens Ars Technica een oplossing deze week uitbrengen, maar trok die halsoverkop terug toen bleek dat er compatibiliteitsproblemen zijn. De fix staat nu gepland voor volgende maand.

De bugs zijn ontdekt door een team beveiligingsonderzoekers dat onder de naam Project Zero opereert. De onderzoekers pogen met het project het aantal 'zero day'-beveiligingsproblemen te doen afnemen. Daarbij nemen zij ook de software van andere bedrijven onder de loep.

In de eerste week van dit jaar publiceerde Google voor het eerst een lek in Windows. De onderzoekers van Google ontdekten het beveiligingsprobleem eind september, en gaven Microsoft negentig dagen om het beveiligingsprobleem op te lossen. Microsoft haalde die deadline niet.

Microsoft was niet blij met de publicatie. Het bedrijf stelde dat beveiligingsproblemen pas naar buiten zouden moeten worden gebracht zodra het probleem is opgelost. Google lijkt het hier, met de publicatie van de nieuwe kwetsbaarheden, echter niet helemaal mee eens te zijn.

Moderatie-faq Wijzig weergave

Reacties (398)

Google lijkt het hier, met de publicatie van de nieuwe kwetsbaarheden, echter niet helemaal mee eens te zijn.
Ben ik het ook echt niet mee eens. Welk voordeel hebben we nu? Zijn gebruikers veiliger omdat ze weten dat dit lek er is? Gaat Microsoft sneller werken omdat dit lek nu op straat ligt? Op beide is het antwoord nee. Het veroorzaakt onrust bij de gebruikers, en Microsoft had al een fix, die vanwege compatibiliteitproblemen dus is ingetrokken. De enige mensen die hier nu blij mee zijn, zijn degene die dit lek willen misbruiken. En Google. Zij lijken ook best trots. Een harde 90 dagen deadline is onzin. Om verschillende redenen:

- Er zou rekening mee moeten worden gehouden dat de feestdagen - opnieuw - in deze periode van 90 dagen vielen
- Lang niet alle issues zijn zomaar in 1, 2, 3 op te lossen, zeker niet in een project zo groot als Windows
- En als het opgelost is, heeft Microsoft zeker nog enige tijd nodig om de fix voor het probleem correct te kunnen testen

Daarbij weet Google dat Microsoft zich houd aan een Patch Tuesday cyclus, daar zouden ze zich in dit soort gevallen ook wel eens op mogen afstellen (idem dito voor bedrijven als Adobe die ook Microsofts cyclus volgen).

Als je dan toch een harde deadline erop gooit, maak dan contact met het bedrijf voordat die deadline verstrijkt en vraag hen hoe het ervoor staat. Microsoft had een patch gepland, er is helemaal geen reden om die nu nog naar buiten te brengen, behalve om Microsoft weer in de moeilijkheden te brengen. Als ze het gewoon straal zouden negeren, geef ik Google gelijk, maar hier is er dus al een patch klaar die wegens compatibiliteitproblemen niet kan worden uitgebracht en gepland staat voor een vaste datum! Dit is gewoon onzin. En dan heb ik het nog niet over het meeleveren van een PoC.

[Reactie gewijzigd door Loller1 op 16 januari 2015 22:10]

Is niet iedereen met je eens:

"Ten years ago, “Microsoft dictated the ‘industry standard’ of how security problems were reported,” Rob Graham, CEO of security consultancy Errata Security, recently said on his company’s blog.

According to Graham, Microsoft would sometimes delay fixing bugs for years and rely on its industry muscle to keep researchers and critics quiet. Now, however, Google is the company setting the “industry standard” for reporting, Graham says. “It’s just whining...They [Microsoft] resent how Google exploits its unfair advantage. Since Microsoft can’t change their development, they try to change public opinion to force Google to change.”"

Overigens deze deadline geld ook voor Google zelf, dus er ligt Microsoft niks in de weg om het omgekeerde te doen.

Wat betreft andere reacties mbt de lek in webview van Android: dit is aan de fabrikanten, niet Google om te updaten.
Nou, eigenlijk niet helemaal. Deze bug betreft Windows 7. Google heeft deze week nog aangegeven diverse security bugs in Android 4.3 niet meer te fixen. Windows 8 is ouder dan Android 4.3..

Telefoon fabrikanten doen *GEEN* development aan Android. Zij doen alleen af en toe hun eigen schilletje er overheen gooien en that's it. Er is geen enkele fabrikant welke actief heeft ontwikkelt aan webview. Daarbij als Google de basis van Android niet fixed, hoe moet de fabrikant dan een update uitbrengen? Of moeten de smartphone fabrikanten nu ineens de fouten van Google gaan repareren.

Maar leg eens uit hoe het vrijgeven van deze informatie tussen nu *EN* volgende maand internet veiliger maakt? Want dat is de doelstelling van het zero-day team. Althans dat claimt Google. Maar momenteel lijken ze meer kwaad, dan goed te doen.

Prima dat je Microsoft achter de vodden aan zit om een patch uit te brengen. Als je twijfelt of Microsoft wel een patch heeft vraagt je om de test rapporten of een internal release van de fix ter verificatie. Als je dan inderdaad constateert dat de patch het probleem oplost, maar inderdaad zoals Microsoft claimt voor comptabiliteitsproblemen zorgt, dan is eerder releasen niet verstandig. Want men gaat dan de patch (en mogelijk ook andere patches) terug draaien, waardoor de systemen dan alsnog onbeschermd zijn.

Dus leg nou eens even opnieuw uit, hoe deze actie van Google positief is? Hoe deze internet gebruikers BETER beschermd?
Telefoon fabrikanten doen *GEEN* development aan Android. Zij doen alleen af en toe hun eigen schilletje er overheen gooien en that's it. Er is geen enkele fabrikant welke actief heeft ontwikkelt aan webview.
Dat klopt, maar de fabrikanten rollen wel zelf de update uit; en vaak doen ze dat niet meer of duurt het erg lang *vanwege* die schil.
Google patched intussen rustig door...
Daarbij als Google de basis van Android niet fixed, hoe moet de fabrikant dan een update uitbrengen? Of moeten de smartphone fabrikanten nu ineens de fouten van Google gaan repareren.
Maar Google heeft de basis van Android al gefixed.
De fouten zijn opgelost in Android 4.4. Dat fabrikanten vervolgens die update niet doorzetten: dat is niet de schuld van Google.

Zie het zo: jij draait op je website WordPress 1.0.
Wordpress maakt bekend dat 1.0 een grove fout heeft, en biedt jou WordPress 1.1 aan.
Helaas is WordPress 1.1 niet compatible met jou thema: je gaat nu eerst op je dooie gemakje je thema compatible maken *voordat* je de updates doorvoert op je site.

... Wie is hier nou de schuldige als jij gehacked wordt?
Jij omdat je niet update omdat je je thema niet dusdanig goed in elkaar had gezet dat kleine updates makkelijk doorgevoerd konden worden, of WordPress omdat ze de update niet *geforceerd* op *jouw* website hebben gezet?

Of alle websites die je gemaakt hebt; stel jij werkt als webdesigner... Trouwens; ja, laten we het zo doen. Je bent webdesigner, onderhoud de sites, maar update geen van je klanten naar WP 1.1 omdat jou thema's enkel compatible zijn met WP 1.0; terwijl 1.1 maar kleine wijzigingen betreft...
Dus nu moet WordPress maar de fouten van jou gaan oplossen? ;) Immers stel jij dat niet de fabrikant, maar de software vendor altijd de schuldige is; dus is WordPress schuldig als JIJ je site niet update! Foei Wordpress...

Dus... Als fabrikanten weigeren om van 4.x naar 4.4 te gaan: dan kan je Google daar niet op aankijken dat ze dat niet voor die fabrikanten oudere versies *nog* een keer gaan bijwerken. Simpel zat.
Maar leg eens uit hoe het vrijgeven van deze informatie tussen nu *EN* volgende maand internet veiliger maakt? Want dat is de doelstelling van het zero-day team. Althans dat claimt Google. Maar momenteel lijken ze meer kwaad, dan goed te doen.
Druk op den ketel. Als je bedrijven een jaar de tijd geeft, dan krijg je dan wel weer de klacht dat je geen 2 jaar de tijd geeft. Vragen ze ook weer om uitstel.

90 dagen is een prima termijn.
En hoe het veiliger maakt: dat wil ik je graag uitleggen.

Nu weten systeembeheerders ook van het probleem af, en niet enkel hackers.
Nu kunnen systeembeheerders zich er tegen bewapenen, en hebben de hackers een probleem.

Niet bekend maken = hackers kunnen vrolijk doorgaan, bedrijf blijft laks
Wel bekend maken = sysadmins kunnen zich bewapenen, bedrijf moet harder gaan werken om op tijd een patch door te voeren.

En dat is het hele punt van Responsible Disclosure, en het werkt geweldig!
Prima dat je Microsoft achter de vodden aan zit om een patch uit te brengen. Als je twijfelt of Microsoft wel een patch heeft vraagt je om de test rapporten of een internal release van de fix ter verificatie. Als je dan inderdaad constateert dat de patch het probleem oplost, maar inderdaad zoals Microsoft claimt voor comptabiliteitsproblemen zorgt, dan is eerder releasen niet verstandig. Want men gaat dan de patch (en mogelijk ook andere patches) terug draaien, waardoor de systemen dan alsnog onbeschermd zijn.
Ze geven al een gratis melding van grove fouten in het systeem, iets dat Microsoft dus kennelijk zelf niet gezien heeft (terwijl ze er grof voor betaald worden); en dan moet Google ook nog eens gratis toezicht gaan houden en controleren op voortgang...?

Hou toch op. :)
90 dagen is een prima tijd, in 3 maanden kan je met voldoende personeel heel veel bereiken... En Microsoft heeft de resources om voldoende personeel aan te nemen voor een van de belangrijkste zaken in de IT wereld wel hoor. Als ze dat niet hebben: dan is dat een policy fout bij Microsoft. Moet je Google, en anderen die publiceren over Microsoft (Google is niet de enige hoor...), niet scheef op aankijken.
Dus leg nou eens even opnieuw uit, hoe deze actie van Google positief is? Hoe deze internet gebruikers BETER beschermd?
Ik heb het reeds voor je uitgelegd hierboven. :)
De kracht om je als admin te kunnen bewapenen, in plaats van onwetend te zijn en geexploit worden.
In dit geval gaat je vergelijking mank. Om je vergelijking door te trekken naar deze case:

Microsoft biedt een oplossing, namelijk Windows 8. Ik begrijp namelijk uit het artikel dat de bug enkel Windows 7 raakt.

Google kent de patchrondes van MS, er IS een fix, maar werkt nog niet goed, dan vind ik dit ronduit kinderachtig van ze. Net als het feit dat er geen dedicated youtube app voor WP is, ze Google maps een korte tijd hebben geblokkeerd voor WP, en al die andere anti MS pesterijen van Google.

Als ze security officer willen spelen in softwareland, prima, fix eerst die webview bug maar eens: Gelijke monniken, gelijke kappen.
om op je vergelijking te reageren, ms deed precies hetzelfde met windows 8, je krijgt geen updates meer tenzij je upgrade naar windows 8.1, maar daar kijkt natuurlijk niemand naar enkel google is evil...

edit: source: http://www.computerworld....pdate-within-5-weeks.html

[Reactie gewijzigd door jeroen7s op 18 januari 2015 16:27]

Groot verschil is wel dat ik als consument moet betalen om van windows 7 naar windows 8 over te stappen.

Overstappen van Android 4.3 naar 4.4 of naar 5.0 kost me niets.

Dat sommige telefoonfabrikanten de volgende versie niet meer ondersteunen is niet de schuld van Google.
Als ik alle gegevens in deze rij reacties combineer kom ik tot de conclusie dat Android met Windows vergelijking heel lastig is.

Android:
- Sneller met security fixes dan Windows
- Security fixes alleen in OS updates welke ook feature changes bevatten
- OS updates gratis
- OS update niet bruikbaar voor eindgebruiker, eerst moet telefoon/tablet fabrikant een update maken met de OS update erin
- Fabrikanten zijn meestal langzaam met OS updates uitrollen
- Fabrikanten stoppen erg snel met ondersteuning van nieuwe updates (en security fixes) voor bestaande toestellen

Windows
- Langzamer met security fixes dan Android
- Security fixes als losse updates ook voor oudere OSen
- OS updates betaald
- OS update en security fix direct bruikbaar voor eindgebruikers
- Microsoft stopt pas na heel wat jaren met security fixes

Dus als eindgebruiker is je Windows apparaat veel langer bruikbaar dan je Android apparaat en gemiddeld beschik je sneller over security fixes dan op Android. (Bezitters van een Nexus buiten beschouwing gelaten, Nexus apparaten zijn bedoeld voor developpers, ze bieden hier wel flinke voordelen)

Dus google moet fabrikanten van hun OS ook verplichten binnen 90 dagen na het vrijgeven van een security update een patch voor de eindgebruiker klaar te hebben liggen anders hebben we niks aan hun wij zijn altijd binnen 90 klaar met fixen

Conclusie voor de eindgebruiker anno 2015:
Windows > Android qua security en levensduur
Ik zoo toevoegen dat Android open source is en het dus volledig de verantwoordelijkheid van de leverancier is dat je veilig bent - hetzij met een update van Google, hetzij met een directe fix. Ms maakt een gesloten product en neemt dus alle verantwoordelijkheid op henzelf: je MAG als hardware leverancier of gebruiker niet eens iets repareren.
Mijn punt is dat de gemiddelde eindgebruiker minder veilig is, hoe dat precies komt en wie verantwoordelijk is is een 2de. Voor mij als eindgebruiker moeten Google en telefoon leveranciers samenwerken om mij als eindgebruiker een goed en veilig systeem te leveren. Dat samenwerken loopt nu niet lekker en daar zijn eindgebruikers de dupe van.

Android is wel open source maar veel drivers zijn dat niet, als je dus een nieuwere Android versie wil installeren zal je ook compatible drivers moeten hebben. Dus als eindgebruiker kan je hier weinig mee. Als telefoon leverancier moet je extra geld betalen aan Nvidia/Qualcom etc zodat er weer een driver komt voor de nieuwe android versie naast het werk wat je moet doen om je eigen apps en aanpassingen er weer op te krijgen, en dat kost veel geld en dus doet men dat zo min mogelijk helaas.
Ja, de drivers zijn een probleem maar voor 99% van de security fixes is dat niet problematisch. De fabrikanten zouden best, zelfs zonder Google, samen kunnen werken. Hey probleem is meer gebrek aan inzicht en interesse... Open Source blijft moeilijk te begrijpen.
maar dat geld langzamer hand niet en weetje waarom?
omdat google veel dingen fixed via play service.
daarom is dat probleem niet meer in android 4.4 omdat google dat gefixed heeft met google play service.

dus jou conclusie loopt mank :D
Apps kunnen idd gewoon via de play store geupdate worden en dat werkt prima. Maar OS updates kunnen niet via de play store.

Uiteraard is de beveiliging van het systeem een combinatie van OS en apps dus wellicht scoort Android qua beveiliging van apps door de play store updates beter dan Windows en op gebied van het OS is dat andersom. Wat dan meer mee weegt is de vraag en idd mijn conclusie is dus eenzijdig.

Ik hoop vooral dat voor die OS updates een keer een goede oplossing gevonden wordt want ik baal enorm van apparaten die na nog geen 2 jaar niet meer volledig ondersteund worden en deels geen beveiligings updates meer krijgen. De enige reden dat ik na ruim 2 jaar een nieuwe Android telefoon kocht was omdat de software op de oude niet meer mee kon qua mogelijkheden en beveiligingsupdates en alternatieve firmwares niet stabiel waren omdat er geen drivers voor de hardware waren voor een nieuwere Android versie en dat vindt ik erg jammer en belachelijk.
zo te zien weetje niet wat er allemaal tegenwoordig met google play services kan.
http://androidworld.nl/nieuws/google-play-services-50/

Dynamic security provider API: Deze toevoeging maakt het mogelijk om beveiligingsverbeteringen met betrekking tot SSL via Google Play Services door te voeren. Toekomstige versies van Play Services zullen gaten in de beveiliging van Android dichten, ook zonder dat een update van het toestel zelf nodig is
Microsoft biedt een oplossing, namelijk Windows 8. Ik begrijp namelijk uit het artikel dat de bug enkel Windows 7 raakt.
Nee, nu vergelijk je major releases met minor releases.
Android 4.3 -> Android 4.4 = minor release

Jou vergelijking gaat nu juist mank, omdat als je Windows 7 vs Windows 8 wilt gaan vergelijking de situatie zou moeten zijn dat je *moet* upgraden van Android 4.3 naar Android 5.0. Dat is niet het geval, je kan gewoon upgraden naar 4.4 om alle patches te krijgen.
Als ze security officer willen spelen in softwareland, prima, fix eerst die webview bug maar eens: Gelijke monniken, gelijke kappen.
Je hebt kennelijk totaal geen verstand van softwareland, want dit is gewoon een industry standard. Alleen omdat er een groot aantal Google haters rondlopen hier is het opeens een mega groot probleem. ;)

Jullie mogen allemaal op je knietjes al die hackers, inclusief deze gasten van Google, bedanken dat ze jullie veilig hebben gehouden de afgelopen jaren via onder andere Responsible Disclosure.
En als een bedrijf super laks is, zoals Microsoft, en geen patches maakt: dan is dat hun eigen probleem.

Je kan uberhaupt het webview systeem van Google niet vergelijken met Microsoft. Microsoft brengt **ZELF** de patches naar Windows machines. Bij Android is de fabrikant verantwoordelijk.

Je kan het aan jezelf uitleggen hoe je wilt omdat je heel graag je Google haat wil botvieren, maar in de realiteit is het gewoon zoals het altijd in de industriegaat; en hebben al die manke vergelijkingen met totaal irrelevante situaties niets met elkaar te maken...

... En bovendien, zelfs ALS het iets met elkaar te maken heeft:
Dus omdat Google een probleem niet oplost, is dat een vrijbrief voor Microsoft om ook hun problemen niet op te lossen...?

En dan zeggen ze dat mijn vergelijkingen en redenaties mank zijn :')
Hou toch op met jezelf voor de gek te houden. Wat Google hier doet is al jaren doodnormale practice, en het is extreem goed werk.

[Reactie gewijzigd door WhatsappHack op 17 januari 2015 17:47]

[...]

Je hebt kennelijk totaal geen verstand van softwareland, want dit is gewoon een industry standard. Alleen omdat er een groot aantal Google haters rondlopen hier is het opeens een mega groot probleem. ;)
[/quote]

Vraag om welke industrie standaard praat je, de patch thusday standaard die al meer dan 10 jaar gedaan wordt? Of de 90 dagen standaard die Google in juli 2014 de wereld in geslingerd heeft?
Vraag om welke industrie standaard praat je, de patch thusday standaard die al meer dan 10 jaar gedaan wordt? Of de 90 dagen standaard die Google in juli 2014 de wereld in geslingerd heeft?
Google heeft:
1.) Die 90 dagen niet verzonnen
2.) Dat gaat al veeeeel langer terug dan 2014

Microsoft heeft 3 patch Tuesday's gehad in de tussentijd. Waar zijn de patches? ;) Ze hebben zelf verstek laten gaan, dus ze moeten enkel zichzelf aankijken; niet Google.
Dat hele patch Tuesday is tevens ook helemaal geen industry standard, maar enkel specifiek bij Microsoft. Sinds wanneer is alles wat Microsoft doet een industry standard? :X

Maar... Gezien jij met jaartallen gaat smijten...
Patch tuesday is *nooit* een industry standard geweest, maar sinds 2013 doen Adobe en, surprise!, Google ook leuk mee.
Minder dan 2 jaar dus.

... Disclosure times bestaan al wat langer dan 2 jaar. ;)
Google kent de patchrondes van MS, er IS een fix, maar werkt nog niet goed, dan vind ik dit ronduit kinderachtig van ze.
Mwoa,,, 90 dagen tussen hulpvolle vermelding van Google, op een presenteerblaadje aangereikt krijgen van de bug en de publicatie. Terwijl je een miljardenbedrijf hebt met voldoende resources om te fixen.

Microsoft kent de policy van Google. Maar werkt niet hard genoeg om hun eigen fout te fixen en gaan dan klagen. Dit vind ik ronduit kinderachtig van ze,

Bedenk je namelijk wel het volgende: Bij deze bug was dus 3 maanden niet genoeg om te patchen, moeten we het dan maar op 4 , 5 of 6 maanden stellen? Of helemaal niet?

Je levert een product aan het publiek, en het publiek toont aan dat er een fout in zit. Meer niet. Dacht je dat hackers/criminelen etc niet op de hoogte waren van de bug? Dat ze dat pas werden toen Google ermee kwam?
Op zich zijn 90 dagen een mooie termijn, alleen moet je alles ook nog testen op tig configuraties wat het soms krap maakt. En als je dan tegen nieuwe problemen aan loopt dan haal je die deadline onmogelijk. Ik vraag me ook af of systeembeheerders zich tegen alle problemen kunnen wapenen...
Om even terug te komen op jouw voorbeeld van problemen in 4.3 zijn gefixed in 4.4. Volgens mij gaat die vergelijking mank. Het probleem is namelijk dat in .(dot)releases naast bugfixes breaking changes zitten.

Dat is in Windows niet anders en daarom ondersteund MS Windows 8 en 8.1 (en 7) met patches. Google maakt het zich er aanzienlijk makkelijker van af door de burden naar de leveranciers te verschuiven. Zelfs als je er geen skin overheen gooit en alles standaard houdt moet je voor .(dot) releases opnieuw door de certificeringsmolen om google apps te mogen voeren en dat kost tijd en geld.

Omdat ze geld en tijd voor certificering vragen (en omdat veel telefoons daardoor nooit naar een nieuwe versie gaan) zou ik het redelijk vinden als Google ook voor oudere versies van hun OS patches uitbrengt.

Op dit moment komen ze er mee weg door het niet te doen en ergens begrijp ik die afweging wel (resources kan je immers maar 1 keer inzetten) maar ze hebben wel boter op hun hoofd als het op security aankomt
android 4.3 is een firmware os, een geen desktop os, die fabrikanten hebben 2 keuzes of ze upgraden naar 5.0 waarin al deze zaken zijn gefixt, of ze fixen de issues zelf, het zei door backporten of door eigen code,

het is immers niet google's schuld dat bedrijven als htc al na 6 maanden geen updates meer doen aan toestellen die normaal prima 3 jaar mee kunnen. wat mij betreft zou een groep vrijheidsstrijders, met onderandere vertegenwordiging uit BoF en consumenten beschermers, eens naar de rechter moeten gaan en de minister dwingen om de wet zo aan te passen, dat firmware fouten ook onder de wettelijke 2 jaar garantie gaan vallen, waardoor bedrijven als htc dus feitelijk gedwongen worden om wel tenminste 2 jaar updates uit te geven.
Fabrikant kan die wel fixen door te updaten naar 4.4..
Wat betreft andere reacties mbt de lek in webview van Android: dit is aan de fabrikanten, niet Google om te updaten.

Kijk dat is een typsich voorbeeld van de arrogantie van google. Ze brengen iets op de markt zogenaamd gratis. Verplichten die fabrikanten wel een boel google zooi erbij te nemen en onderhoud, nee daar doet google niet aan dat moeten de fabrikanten doen.

Weet je waar dat op lijkt. 2 partijen die elkaar de schuld geven.
De klos is de consument die niet weet bij wie die nu moet zijn.

Google moet vooral zo doorgaan, ze kunnen heel hard roepen fabrikanten moeten het oplossen, android is qua naam verbonden met google en de consument zal google er op aankijken.
" Verplichten die fabrikanten wel een boel google zooi erbij te nemen "

Ja iets terug verwachten voor het gratis gebruik van compleet OS is inderdaad te gek voor woorden. Ik vind dat alle software ontwikkelaars gewoon alles moeten weggeven. /s

"en onderhoud, nee daar doet google niet aan dat moeten de fabrikanten doen."

Google kan dit lek niet zelf dichten, het is aan de fabrikanten om updates naar gebruiker uit te rollen. Als fabrikanten dit lek willen dichten kunnen ze gebruik maken van android 4.4 of hoger. Zoals WhatsappHack zegt: als er een lek in wordpress 1.0 zit, word er toch ook gewoon verwacht dat je update naar 1.1?
Helaas zien mensen als jou alles verkeerd..
nou ten eerste help ik jou je Microsoft bril af te doen Door je te vertellen dat zelf Microsoft aan profielen doet.
Zelfs Apple doet het maar veel minder mate...
ten 2 de google verkoopt jou niet..
Google maakt een profiel met gegevens wat jij leuk vind en koppelt adv eraan.
het is dus niet zo dat als Ziggo op google adv plaatst in eens weet wie jij bent waar je woont en wat je allemaal doet op het Internet.
Je moet niet achter al die Google haters aan huppelen. ..
De schade kan verhaald worden op google. Lijkt me duidelijk.
Nee hoor, dat kan niet.
Als jij een lifehammer koopt en die gebruikt om iemand anders ruiten in te slaan, dan is ook de fabrikant niet aansprakelijk voor de schade.

Google laat enkel een fout zien die door Microsoft is geintroduceerd, en geeft ze zelfs nog een zee aan tijd om het op te lossen.
ALS er schade ontstaat, kan je absoluut niet bij Google aankloppen.
Wat een slecht voorbeeld. Er wordt door google moedwillig een ingang geboden tot criminaliteit. De schade kan gewoon verhaald worden bij google.
lijkt mij heel sterk. samsung, htc of lg die zijn uiteindelijk de leverancier voor jouw. google niet
Wat een onzin. Ik weet niet in wat voor wereld jij leeft, maar in onze wereld hebben rechters gelukkig een stel hersens. De verantwoordelijkheid ligt gewoon bij Microsoft.

Zelfs Full Disclosure is, voor zover ik weet, in vrijwel geen enkel land strafbaar. (Correct me if I'm wrong.) En we hebben het nu over Responsible Disclosure, en jij denkt dat op grond daarvan de schade 'gewoon' verhaald kan worden? Seriously ...?

Dat zou een zeer slechte zaak zijn. Als schade na het publiceren van een bug verhaald zou kunnen worden op de partij die de bug publiceert, is het aantrekkelijker voor bedrijven om rechtszaken te voeren dan daadwerkelijk de bugs te fixen.
Als ik bij jouw huis langskom en check alle ramen en deuren en er blijkt een open te staan en jij bent niet thuis. Nou zeg ik dat op Twitter en prompt wordt je huis leeggehaald. Ga je dan nog steeds hard roepen dat dit allemaal mag?
Nee google moet met zijn poten van andermans spullen afblijven.
Je google liefde gaat me iets te ver.
Dat is echt een kromme vergelijking.

Je kunt het beter vergelijken met dat jij op YouTube een filmpje zet waarin je laat zien wat een zwak punt is bij een bepaald type slot dat ik toevallig gebruik. Als er dan bij mij ingebroken wordt, heb ik verder nog steeds niets met jou te maken. Ik heb met de fabrikant te maken.

Hou eens op met dat gezeur vanuit je Google-haat. Ik heb met geen woord over Google gerept maar spreek gewoon in het algemeen. Jij bent degene die het constant specifiek over Google heeft vanuit je Google-haat.

[Reactie gewijzigd door gday op 18 januari 2015 14:17]

Dit is precies wat google doet alleen zegt nog even dat je het binnen 90 dagen moet oplossen en dan op twitter zeggen welk raam het is. Nee hoor google heeft geen reet te maken met wat een ander bedrijf doet. Sterker nog alle schade kan op google verhaald worden.
Nogmaals, je vergelijking klopt gewoon niet. Je kunt het 30 keer herhalen, maar nog klopt je vergelijking niet. Sorry.

Maar leg jij dan maar eens uit waarom je bij Full Disclosure geen poot hebt om op te staan zoals ik al eerder zei, en bij Responsive Disclosure opeens aansprakelijk zou zijn volgens jou?

Sorry, maar je lult gewoon een slag in de rondte. Je hebt geen idee waar je het over hebt. Dat JIJ een partij als Google dan aansprakelijk vindt is leuk voor je, maar dat zegt helemaal niets over de wetgeving hieromtrent. Denk toch eens na alsjeblieft ... :O

[Reactie gewijzigd door gday op 19 januari 2015 08:01]

Mijn vergelijking klopt precies.
Google moet gewoon met zn poten van andermans software afblijven. Net als jij niet met je poten van mijn eigendommen moet afblijven. Je kan google voor alle schade aansprakelijk stellen.
Enne misschien moet je zelf eens een keer nadenken dan blind alles goedkeuren wat google doet.
Je hebt het over dat jij bij mij thuis langskomt, checkt of er een raam openstaat en dan dat actief gaat twitteren. Je vergelijking zou alleen precies kloppen als een bedrijf eerst actief gaat proberen of specifiek jouw PC een beveiligingslek heeft, en direct (dus niet na 90 dagen) actief gaat Twitteren dat jouw specifieke PC te vinden is op IP-adres w.x.y.z en een lek heeft dat op manier X te misbruiken is.

En nee, dat is dus absoluut NIET het geval. Als je dat nog niet snapt door je blinde woede jegens Google heeft een verdere discussie gewoon echt totaal geen zin. Sorry.

Als software-developer ben ik in ieder geval dolgelukkig dat jij de wetten niet bepaalt, want dan lag de weg open voor rechtszaken die de software-wereld kapot zouden maken en was er totaal geen reden voor marktleiders om aan de kwaliteit van software te werken, aangezien het lang openlaten van lekken en het voeren van rechtszaken dan lucratiever wordt dan het snel dichten van lekken. Bovendien zou een kwaadwillende die het lek ontdekt dan oneindig lang gebruik kunnen maken van dat lek. Nogmaals: ik ben echt blij dat jij geen wetten bepaalt.

Aangezien er al jarenlang mogelijke exploits bekend worden gemaakt, moet het voor jou toch geen probleem zijn om rechtszaken te vinden waarbij de partij die een exploit publiceerde voor de rechter moest komen en schuldig is bevonden. Kom maar op met een voorbeeld, of staak de discussie!

[Reactie gewijzigd door gday op 19 januari 2015 17:54]

Dat je weigert om daadwerkelijk een voorbeeld aan te dragen is genoeg bewijs dat je gewoon totaal geen idee hebt waar je over praat. Je praat er zelfs geheel overheen terwijl dat de beste en makkelijkste manier is om je gelijk te kunnen halen. Waarom?

Het interesseert me verder ook geen reet dat je Google haat, want dat moet je vooral zelf weten. Dat je het aangrijpt om compleet ongefundeerde onzin de wereld in te slingeren vind ik echter wel zorgelijk. En dan zul je wel roepen dat het niet ongefundeerd is, maar lees dan verdorie de wetboeken eens. Zo moeilijk is het echt niet hoor. Ook de federale en staatspecifieke wetboeken van de VS zijn namelijk gewoon openbaar. Zou raar zijn als die niet openbaar zijn toch? Kom maar op met jurisprudentie of een wetsartikel die je in het gelijk stelt. Ik zal je alvast verklappen: dat lukt je niet. En daarom blijf je daarover natuurlijk ook stil zodat je keihard door de mand valt. Vergeet niet: deze hele discussie staat compleet los van wat jij ethisch juist vindt. En daar mag je best je mening over hebben, maar dat zegt niets over de wetgeving.

Verder succes met het leven in je waanwereld waarin je Google zomaar aansprakelijk kunt stellen terwijl de wet die mogelijkheid helemaal niet biedt. Tabee!

[Reactie gewijzigd door gday op 19 januari 2015 21:57]

Google die de industry standard zet in security... :z
Het zou me niets verbazen als Microsoft nu wel degelijker sneller te werk zal gaan. Er ligt nu niet alleen interne druk op het bedrijf maar ook maatschappelijke druk vanuit de consument. Wanneer een leek dit leest kan dit al snel voor reacties zorgen als "had ik nu toch maar een Apple genomen, daar kan kan namelijk niets mee gebeuren". Dit is namelijk helaas in de realiteit hoe veel mensen denken. Ik denk dat Microsoft wel degelijk sneller te werk zal gaan nu.

Dit bovenstaande verhaal wil echter nog niet zeggen dat ik het eens ben met de werkwijze waarop Google zomaar lekken van andere bedrijven vrijgeeft. Ik vraag me af of Google blij zou zijn als de andere bedrijven zomaar lekker binnen Google's software vrij zou geven.
Het zou me niets verbazen als Microsoft nu wel degelijker sneller te werk zal gaan
Alleen op Google issues en daardoor minder op de issues die een hogere prioriteit hebben.
Een focus op door Google ingediende issues en niet op de belangrijkste issues is negatief voor de consument. Sowieso is elke publicatie van een niet gepatched issue slecht voor de consument.
Aan elk veiligheidslek met een hoge prioriteit moeten ze hoge prioriteit geven, niet enkel die van Google.
En je maakt hier de fout dat je denkt dat enkel Google zulke lekken na 90 dagen publiceert... Is echt niet het geval hoor. ;)
Dus dit is niet negatief voor de consument, het enige voor wie het negatief is is Microsoft, omdat die nu tonen dat ze kennelijk geen competent personeel in huis hebben dat binnen redelijke tijd patches kan uitrollen.
Sowieso is elke publicatie van een niet gepatched issue slecht voor de consument.
Nee dat is absoluut niet waar.
Knowledge is power, nu kan je je er nog proberen tegen te bewapenen, anders niet... Ignorance is bliss, maar niet als het om grove lekken gaat die dankzij de softwareboer niet eens gepatched worden...
Microsoft heeft geen competent personeel ??? Daar noem ik nu populair gezemel. Als het lek niet bekent is dan kan het ook niet misbruikt worden. Dus het is wel degelijk een goed idee om dit niet prijs te geven. Bovendien geeft MS duidelijk aan waarom er nog geen patch is.

[Reactie gewijzigd door trisje op 17 januari 2015 23:19]

Je steekt je hoofd wel erg in het zand. Heb je enig idee hoeveel handel er is in zero-day exploits op de grijze/zwarte markt? Dat zijn exploits die bij veel mensen/partijen (nog) niet bekend zijn, maar wel je systemen kunnen aanvallen. Als je weet wat er is kan je tenminste nog een IDS configureren om bepaald verkeer te onderscheppen of kunnen virusscanners e.d. hun engines updaten met bepaalde patronen. Om met een zen koan te spreken: als een boom valt in een bos en er is niemand om het te horen, maakt het dan nog geluid?

Security through obscurity is een wassen neus.

Je bedoelt overigens populistisch denk ik, niet populaties.
Microsoft heeft geen competent personeel ??? Daar noem ik nu populaties gezemel.
Evident niet, of althans: niet voldoende.
Anders hadden ze wel binnen 3 maanden een patch kunnen uitrollen.
Als het lek niet bekent is dan kan het ook niet misbruikt worden.
Wie zegt er dat het lek niet bekend is bij black-hat hackers...?
Je moet voor de lol eens naar wat obscure IRC kanalen gaan. Daar zul je een hoop leren, en je zal nog schrikken van de hoeveelheid 0days die daar per dag over de toonbank gaan...

Je hebt zelfs de kans dat wat Google nu gevonden heeft een jaar geleden al bekend was, misbruikt werd, et cetera...
Er vanuit gaan dat Google de eerste is die het lek vindt is een foute redenatie.
Dus het is wel degelijk een goed idee om dit niet prijs te geven. Bovendien geeft MS duidelijk aan waarom er nog geen patch is.
Nee, het is een heel slecht idee om het niet te doen.
Dat MS excuus na excuus geeft om er maar langer over te doen om eindelijk eens een patch uit te geven is geen reden om ze uitstel te geven.
Gewoon oplossen, klaar.
Aan elk veiligheidslek met een hoge prioriteit moeten ze hoge prioriteit geven, niet enkel die van Google.
Ze moeten lekken de optimale prioriteit geven voor hun klanten. Als dat verstoord wordt doordat Google hun issues publiceert en daardoor de risico's op misbruik met bijvoorbeeld een factor 1000 verhoogt dan is dat slecht voor de windows gebruikers die meer risico lopen en die nu een minder optimale patchvolgorde krijgen.
Microsoft gaat Google echt geen voorkeurs behandeling geven.

MS heeft meermaals ook (serieuze) exploits in Google's software gevonden en deed daar ook niet moeilijk over. De recente keer dat Google dit deed had ik nog zo iets van "Nja, niet zo etteren Google, dat had netter gekunt".

Maar nu lijkt het gewoon alsof Google Microsoft gewoon echt dwars probeert te zitten. En dan nog op gebied van security, waar Microsoft toch echt op Google vooruitloopt. Nou woohoo, ze hebben een paar wat serieuzere bugs gevonden (die vorige stelde eigenlijk niet zo veel voor). Dat gebeurt andersom net zo goed maar zonder al die bombarie.
Het slechte voor de consument is dat er niet tijdig een fix is. Google publiceert de hacks. Criminelen gebruiken ze gewoon over de rug van de consument. 15 jaar geleden had Microsoft ook al een lakse houding op gebied van security. Ze lijken weer die kant op te glijden door te klagen ipv. lekken te dichten.
Het is voor Microsoft best riskant om patches versneld uit te brengen. Zij moeten rekening houden met miljarden verschillende soft- en hardware configuraties. Windows is velen malen opener in mogelijkheden als het om soft-en hardware gaat dan bijvoorbeeld Android of Mac os. Dit betekent helaas dat het uitbrengen van patches meer werk en dus tijd kost.
En dat is precies de kern van het verhaal. Het complexe windows eco systeem vereist een zeer intensieve controle.

Door dit afpersen van Google (betere omschrijving is er gewoon niet) zijn de gebruikers de pineut.

Dit merk je zeer zeker de laatste jaar waarin Microsoft patches versnelt uitbrengt, met de negatieve gevolgen inclusief. Blue screens en patches die worden ingetrokken.

https://www.google.com/se...=chrome&es_sm=93&ie=UTF-8

Over de discussie met android en windows.
Gebruik bij Android maar een nieuwere versie is het verhaal.

De betere vergelijking zou zijn dat Google verschillende Android versies zou ondersteunen, dus ondersteuning van Android 4.3; 4.4 en 5,0.
Google 'Abandonded' de oudere versies voor de nieuwe versie.
En laat je simpelweg stikken al je een oudere Android versie draait.

Microsoft blijft de verschillende versies zo lang mogelijk ondersteunen.
En in dat geval moet je Microsoft een pluim geven.

Persoonlijk vindt ik de houding van Google autoritair en dictatoriaal.
Met grote invloed op het internet en relevante zaken zouden ze juist de verantwoording moeten nemen en een voorbeeldfunctie moeten geven.

Dit is niet Microsoft forceren, dit is gebruikers (van Windows 7) het slachtoffer maken. Windows een slechte naam geven (blaming en shaming) .
Voor mijn gevoel is dit een machtstrijd van Google vs Microsoft.
Criminelen gebruiken ze gewoon over de rug van de consument.
Criminelen gebruiken vrijwel exclusief publiek gemaakte lekken.
waarom ga je er hier vanuit dat patchen toch wel gebeurd, en dat er hierdoor alleen maar verhoudingen scheef gaan,

je doet net alsof alle fouten altijd gepatched worden, en allemaal in volgorde van belangrijkheid, in a perfect wordt zou dat gebeuren, maar de harde realiteit zegt iets heel anders, zoek de tweakers.net archieven er maar eens op na hoe veel en vaak er niet bovenwater kwam dat bepaalde lekken al jaren bekend waren

als MS hier idd andere belangrijke lekken opzei schuift om de massa gerust te stellen dan zijn ze nog schandaliger bezig dan dat tot dusverre blijkt, want in plaats van meer mensen in zetten om de veilheid weer op peil te brengen zijn ze dan blijkbaar alleen maar aan het kloten in de marge en het creŰren van schijnveiligheid, als dat ooit boven tafel komt wordt het tijd dat wij eens wat 2e kamerleden op trommelen om een inititatiefwet aan te nemen die het gebruik van MS producten aan banden legt danwel totaal verbied, binnen alle overheden en semi overheden.

want aan zo'n bedrijft / software wil je geen zeer gevoelige data toe vertrouwen lijkt me.
Het maakt niet uit of ze sneller zouden werken of niet. Die patch komt er nu toch pas volgende maand op de 2de dinsdag. Het heeft ook geen nut om systeembeheerders nu tegen het zere been te gaan schoppen door van hun eigen cyclus af te wijken.
Dan moeten ze hun patch windows maar aanpassen.
Als MS effectief zo lang wacht om een patch te distribueren terwijl die wel al bestaat, dan komt ze zeer erg onbetrouwbaar over en lijkt eht alsof microsoft OS security niet op de prioriteiten lijst staan van Microsoft...
Dat kan net genoeg zijn voor terug meer over te stappen naar alternatieve operating systems
Het is vervelend voor systeembeheerders wanneer er steeds weer updates binnen komen. Door een vast moment te kiezen kunnen systeembeheerders hier rekening mee houden.
Is het niet hetzelfde dan als de updates gewoon uitbrengen en de systeembeheerders laten kiezen of ze die ineens willen installeren bv dringende dingen of die te groeperen op dinsdag zoals nu? Veel flexibeler.
Nee het is juist heel mooi voor de beheerders en consumenten wanneer ze weten wanneer er patches verwacht worden. En niet in willekeur van de fabrikant worden gepushed. Zeker als je een beheerder bent van een tientallen tot honderden computers.
dat vind ik echt de slechts mogelijke practice en misschien schop ik hier tegen het verkeerde been als ik zeg dat deze regel er voor namelijk bedoeld is om de duizende hobby beheerdertjes bij grote bedrijven tot zwijgen te houden. 'echte' IT'ers zijn prima in staat om zelf een wsus server te draaien vervolgens een deployement test te doen, te valideren of die stabiel is en de problemen idd oplost om hem dan uit te rollen...

misschien zou ms eens iets meer met risk-awareness moeten doen waarbij 0day exploits onmiddelijk worden vrij geven, high priority iets langzamer en de rest gewoon maandelijks ...

een groot deel van de reden waarom mee maar 1 patch window heeft is gestoeld op geld geld voor ms omdat ze nu minder mankracht nodig hebben voor stabiliteits patches, en geld voor de end-user die minder mankracht nodig heeft omdat er nu maar 1 deployment test per maand nodig is een niet bijv 1 per week .

maar geld en gemakzucht afzetten tegen veiligheid heb ik nooit een goed idee gevonden. en is ook een van de redenen waarom ik niet graag met windows werk.
Waar ik mee altijd zo kwaad over maak is dat systeem beheerders altijd zo ongelooflijk zelfverheerlijkers zijn. Alles en iedereen inclusief collega's snappen het niet maar zij zelf weten uiteraard precies hoe het zit. Maar als je vraagt hoe het van wel zit legen ze het niet uit.
Maar dat komt uiteindelijk op het zelfde neer. In de tijd dat de update wel beschikbaar is, maar nog niet ge´nstalleerd is het systeem ook 'onveilig'.
Ja maar dan kunnen ze zelf beslissen als de ernstigheid hoog genoeg is om toch een out of bounds deploy te doen, nu hebben ze die keuze niet.
Systeem beheerders zullen heus wel hun moment van updaten kiezen of opgedragen krijgen.
Welja, laten we de wereld aanpassen aan de wensen van systeembeheerders.

En inbrekers vragen alleen nog maar overdag te werken omdat het anders zo onprettig voor de politie is }:O
Zelfs als ze sneller te werk gaan, moeten we daar blij mee zijn? Ze hadden de patch gewoon lekker snel kunnen uitbrengen. En dan waren die compatibiliteitsproblemen aan het licht gekomen bij de gebruikers.

Tuurlijk moeten bedrijven doorwerken aan fixes voor lekken. Maar je moet ook realistisch zijn dat Windows een gigantisch project is dat op een gigantische hoeveelheid hardware moet draaien, dat kost gewoon tijd om alles te verifieren en zeker te zijn dat het probleem daadwerkelijk op een goede maner is opgelost.
zoals je al aangeeft google wil binnen de hun gestelde termijn, een termijn die ze zelf bedacht hebben en start aan vasthouden als een soort ambtenaren een oplossing.

moet je als bedrijf dan hasloverkop een patch uitbrengen die weer andere problemen met zich meebrengt.

Het enige doel van google hier lijkt me niet de gebruiker maar vooral MS in een slecht daglicht zetten. De gebruikers zijn er zeker niet mee geholpen en door het openbaarmaken geef je juist info aan misbruik weg aan te veel mensen. Maar goed google zal er wel een reden voor hebben, oh ja zwartmaken van MS hun tegenstander.
moet je als bedrijf dan hasloverkop een patch uitbrengen die weer andere problemen met zich meebrengt.
90 dagen is niet halsoverkop. Het is algemeen bekend dat security by obscurity niet werkt. Zeker als we het hebben over zon groot platform als Windows waar de vraag naar exploits heel groot is.
Grappig hoe ook jij 90 dagen overneemt. Waarom geen 30 of 45 of 120 dagen. Schijnbaar slikken mensen alles wat google ze voorkauwt en nemen een termijn aan als iets dat zo moet zijn. 90 dagen is 90 dagen, geen flexibiliteit, geen overleg hoe ver zijnjullie ermee nee befehl is befehl en golgle bepaald.

In het dagelijks leven heeft iedereen met termijnen te maken soms worden die strak gehanteerd en soms in goed overleg verlegnd. conclusie goed overleg met google is niet mogelijk.
dat is vrij simpel, 30 dagen is ongeveer wat MS (een van de industry leaders) nu gebruikt als patch window, anderhalf patch windows (45) is dus normaal veel te krap om met goed fatsoen iemand te chanteren. 60 dagen zou dan prima kunnen, maar google heeft er voor gekozen om in plaats daarvan zelfs 3 te gunnen juist om te zorgen voor genoeg tijd om op stabiliteit te testen.. 120 is gewoon bizar lang, zelfs voor pakket als windows. en zorgt alleen maar voor onnodig lange blootstelling..

90 blijft een arbitrair getal dat is waar, maar in heel erg veel ontwikkel bedrijven zult je zien dat 90 dagen een veelvoud vormt van wat ze gewend zijn aan development cicli
Je redenering is korte termijn denken:
Door de druk op te voeren moet Microsoft sneller gaan patchen. Dat betekend ook de procedures voor patchen en testen daarvan onder het vergrootglas gelegd moeten worden.
Het beste waar je kan zien dat druk van buitenaf heilzaam werkt is de browser geschiedenis. Microsoft was zo lui als wat en liet zien dat het ze geen bal interesseerde dat IE een draak van een browser was. Het werkt toch? We hebben 95% van de browsermarkt in handen. Wie doet ons wat.

Nu is Windows al een stuk veiliger dan voorheen maar Windows is er nog lang niet. 90 dagen om te patchen is lang. Ik weet niet hoe het bij Linux gaat met kritieke patches maar dan nog. Het marktaandeel van Windows op de dekstop laat zien dat Microsoft wel wat extra druk kan gebruiken om sneller te patchen.
En daar wordt iedereen beter van.

En wanneer Microsoft dit nou ook gaat doen bij Android wordt de klant helemaal bij, dan gaat deze periode de geschiedenis in als: The Patch Wars.

[Reactie gewijzigd door Floor op 16 januari 2015 23:11]

weer iemand die 90 dagen er als ambtenaar strak op nahoud. Zelf bdechte google termijn zijn hard en daar is geen discussie over mogelijk. normaal noem je dit arrogant gedrag en dat is het natuurlijk ook.

patchen is natuurlijk leuk maar zoek eens op hoe vaak er na een patch toch iets is misgegaan. Waarom wachten veel bedrijven met patchen omdat ze eerst willen of er geen problemen met de patch zijn. Het klinkt allemaal zo eenvoudig maar software is niet eenvoudig, zal het nooit zijn, wordt alleen maar complexer dus de kans op fouten en fouten in patches groter.

Dom vasthouden aan een termijn is dan star en arrogant denken.
Die helderheid met een termijn is beter dan een zero dat exploitatie. Ze mogen blij zijn dat iemand anders dan ms wel de moeite neemt bugs te zoeken. Als google het zonder de broncode al kan waarom kan ms het dan zelf niet? Omdat het geen geld oplevert is de meest voor de hand liggende reden. Dat het niet leuk is en soms je applicatie niet meer werkt is dan vervelend maar in 9 van de 10 gevallen het gevolg van niet netjes programmeren. Als de fabrikant van jouw auto weet dat je stuur eraf kan vallen wil je dat dan direct weten of pas nadat de contracten voor het leveren van een nieuwe stuurstang getekend zijn?
iemand anders dan ms zoeken naar bug.

U hallo waar leeft u. Er zijn dagelijks mensen buiten google, ms ibm samsung noem ze maar op bezig met het zoeken van bug. bug worden zelf op de zwarte markt verkocht.

Een triest opmerking om te roepen als google het zonder broncode kan waarom ms niet. Waarom was er een ssl bug in linux die jaren bestond en de broncode zelfs openbaar was. Omdat de linux gemeenschap te dom was volgens jou ?
Nee software is complex, heel complex en wordt alleen maar complexer. Het is dom aan te namen dat een bedrijf zelf iedere bug in hun eigen software moet vinden. Dat is bij MS zo bij android en ja zelfs bij linux zo.

niet netjes programmeren, zie opmerking bugs in linux de laatse tijd. niet netjes programmeren. Ik mag hopen dat je een mens bent. Een mens maakt per definitie fouten in software dat is zo en zal wel altijd zo blijven. fouten zijn dus menselijk, daar kan ik niets aan doen en jij ook niet. Te roepen niet netjes programmeren is dus roepen de mensheid deugt niet want ze maakt fouten.

Je voorbeeld van fabrikant van auto. Kijk eens naar terugroepacties van verschillende merken de laatste jaren. soms na 1 soms na 5 jaar. Ja ook daar worden menselijke fouten gemaakt. Zodra men het weet doet men er iets aan. soms ondekt de fabrikant het zelf en soms een ander. Maar ja volgens jou redenatie moet de fabriaknt het zelf altijd ontdekken en mag hij geen fouten maken.
wat een belachelijke redenatie, ja er worden fouten gemaakt en ja sommige fouten zijn idd zo complex dat duizenden ontwikkelaars er overheen kijken, hoewel in het geval van ssl daar een behoorlijk goede reden voor is, het is namelijk zulke complexe materie dat er maar een handje vol ontwikkelaars is dat daar mee om kan gaan, ook bij ms zijn dergelijke problemen geconstateerd ...

en dan begin je over terugroep acties, in het algemeen zonder enige inhoudelijke respons, want als er echt een probleem met het stuur van een auto is en je houd dit onder de pet totdat het je goed uit komt om dit te openbaren dan ben je in nederland gewoon strafbaar, en als er dan toevalig ook nog dodelijke ongevallen van komen zult je worden berecht en veroordeeld voor doodslag
belachelijke redenatie. ssl is nu zo complex dat een paar mensen verstand van hebben. Schijnbaar niet genoeg verstand omdat die fout gemaakt is en jaren lang heeft kunnen bestaan.

Aangezien de windows code niet open source is kunnen jij en ik niet zeggen hoe complexonderdelen daarvan zijn. Zit er een bug in 1 van die onderdelen dan kan die ook complex genoeg zijn dat een handjevol mensen bij MS er maar verstand van hebben.
Heb je mijn reactie ook begrijpend gelezen? Ik geef aan dat onder druk de meer prestaties worden geleverd. Dit is algemeen bekend. Nooit begrepen waarom in een oorlog bijvoorbeeld ontwikkelingen heel snel gaan?

Wanneer je 40 dagen nodig hebt om te testen van een patch dan moet je toch maar eens gaan kijken of je dat niet terug kan brengen naar 39 of minder.
Verbeteringen worden in kleine en soms in grote stappen uitgevoerd. Is er echter weinig of geen druk dan veranderd er niks.
De 90 dagen is ook te onderbouwen, Google is niet de enige partij die opzoek is naar patchen. Mocht je ooit eens dieper naar uitvindingen hebben gekeken dan zie je dat ontdekkingen vaak op meerdere plaatsen tegelijk worden gedaan. Waarom is dit met software anders.
Over ambtenaren gesproken, Microsoft is zo log als wat. Ja, die info heb ik van MS medewerkers. Het is een groot bureaucratisch bedrijf. En ik hoop dat ze android onder het zelfde vergrootglas gaan leggen. Laat de patchwar maar komen.
Onder druk kan meer prestaties betekenen maar onder druk en dat zal je ook moeten weten betekend ook meer kans op fouten.Laten fouten voor patches nu weer niet goed zijn. Je kan dus precies redeneren zoals jezelf wil.

noem mij 1 groot bedrijf vergelijkbaar qua werknemers met MS dan niet log is. Denk dat log zijn en grote vaak hand in hand gaan.
weer iemand die 90 dagen er als ambtenaar strak op nahoud. Zelf bdechte google termijn zijn hard en daar is geen discussie over mogelijk. normaal noem je dit arrogant gedrag en dat is het natuurlijk ook.
Wat wil je dan, dat er na 80 dagen een reactie komt "ja, we zijn er mee bezig, maar ...." en dat er vervolgens een commissie wordt opgestart die een paar jaar gaat vergaderen over hoeveel uitstel in dit specifieke geval, met alle omstandigheden in acht genomen gerechtvaardigd is!?

Als MS denkt dat het niet realistisch is om in 90 dagen een probleem op te lossen, dan mogen ze fijn een paar problemen in Chrome of Android melden aan Google (en 90 dagen later aan de rest van de wereld). Dan zien we vanzelf hoe realistisch 90 dagen is.
Sneller dingen willen oplossen kan ook voor problemen zorgen, zoals de aangegeven compatibiliteitsproblemen. Als ze tijd moet inleveren voor testen bv.
Je draait de zaken om. Je kan ook kijken of er efficienter getest kan worden.
En ook het reorganiseren van je test cycli kost tijd... Bovendien is het wellicht al zo goed als optimaal, wie zal het zeggen?
De Google fans schijnen te vergeten dat microsoft met Windows 7 en 8.1 iets meer te onderhouden heeft dan Google met zijn mobile platform. Windows draait op ontiegelijk veel hardware android is veel kleiner en hardware specifieker. Naar toch vinden ze het nodig, om de ondersteuning van een anderhalf jaar oude versie met patches niet meer bij te werken. Maar wijzen wel met hun vingertjes naar een aardsvijand
Het gaat Google helemaal niet om de veiligheid maar om het zwart maken van Microsoft
. Om daar zelf gewin uit te halen.
En waarom denk je dat ik een Google fan ben?
Ik ben voorstander van elkaar op fouten te kunnen wijzen en dat tech giganten zoals een Google, Apple en Microsoft hun verantwoordelijkheden nemen. Eerlijk gezegd doen deze dat allemaal veel te weinig. Iedere stap in de goede richting van veiligere besturingssystemen is er een. En wanneer dat betekend dat er een flinke patchoorlog ontstaat, dan is het maar zo. Uiteindelijk worden we daar allemaal beter van.
Elkaar op fouten wijzen mag natuurlijk altijd met de juiste intensties. Maar helaas zijn de etenties van Google toch niet zo vriendlijk dan ze doen voorkomen. Dat dit voor de consument misschien voordelen oplevert in de vorm van een snellere patch is natuurlijk mooi meegenomen.
Maar waar het hier omgaat is dat Google hier mooi weer speeld en naar andere wijst, maar zijn eigen android te snel naar een nieuwe versie gooit en vervolgens de oude versies niet meer ondersteund met patches. Terwijl Goolge ook wel weet dat het een fabrikant veel geld en tijd kost de nieuwe versie voor hun toestellen beschikbaar te maken e dat zelfs gewoon niet mogelijk is naar een nieuwe versie te upgraden. Kennleijk schort er dus ook iets aan de update strategie van Google.
De Google fans wuiven dit verhaal gewoon weg. Maar je zou maar net een nieuw toestel hebben gekocht met android 4.2. ( De meeste mensen hebben zelf geen idee die die toestellen kopen)
Ik heb ook vernomen van een ex-Microsoft medewerker dat ze essentiŰle mensen hebben ontslagen, omdat ze een nieuwe richting in willen. Misschien dat dit mee heeft gespeeld in de trage ontwikkelingen van de patch.
Ik heb vernomen van een huidige Microsoft medewerker dat die mensen niet zo essentieel waren als zij zelf dachten.
Voorheen waren de belangen van Google anders.
Ze hadden een besturingssysteem voor telefoons en voor laptops/desktops geen concurrent voor Microsoft.ep
Met het uitbrengen van Chrome OS en Chromebooks, betreden ze dezelfde markt en zijn het wel concurrenten.

Hoe kun je goed klanten winnen?
Door je concurrent in een een kwaad daglicht te zetten en aan te tonen dat hun product niet goed genoeg is.
Marketingstrategie dus
Inderdaad, ken je scroogled campagne van Microsoft nog? :) Een typisch voorbeeld ter onderbouwing van jou post.

In principe doen alle bedrijven elkaar zwart maken. Normaalste zaak van de wereld dus en niet van belang.
Ik denk dat Google bij het aanmelden van bugs juist rekening houd met patch tuesday. Als ze een weekje ofzo langer wachten met het aan MS te vertellen hebben ze meer kans om MS later te naaien.
En ms zou hetzelfde doen. Wat is je punt?
Ik weet toch wel zeker dat MS sneller aan het werk zal gaan na publicatie.
Ik vind dat ze zich met hun eigen zaken moeten bemoeien en de energie die ze hiervoor gebruiken moeten steken in het verbeteren van hun eigen niet bepaald briljante producten.
Wederom, ook in dit draadje: ja, je kunt een beveiligingslek in een product als Windows, om het eender wat voor lek, altijd binnen 90 dagen patchen. Het hangt puur af van hoeveel mankracht je op de zaak zet.

Met andere woorden: als Microsoft niet binnen 90 dagen een patch kan publiceren, dan is dat hun probleem.
Patchen kan inderdaad simpel in 90 dagen. Maar indien de patch een grote impact op het systeem heeft kan het zijn dat de fix op een bepaalde configuratie niet goed werkt. Dan moet daar een fix voor gemaakt worden, maar ˇˇk die fix van de patch moet weer op zoveel mogelijk configuraties getest worden in verschillende omstandigheden. Dus werkt de nieuwe functionaliteit goed? het kan best zijn dat zo'n patch 10x terug moet naar de 'teken'-tafel..

Daarnaast zit je nog met regressietesting of er niet nieuwe bugs ge´ntroduceerd worden met de patch, en dat voor ßlle configuraties..

Ik denk zelf dat veel mensen te gemakkelijk tegen de zwaarte van het testproces aankijken bij een product als Windows.
Dat snap ik, maar dat is nu juist mijn punt - de "testdruk" is hoger, maar het beschikbare budget en de beschikbare hoeveelheid mankracht is dat ook, die schaalt simpelweg mee als het bedrijf groeit.

Een "iteratie" kan prima binnen een dag of minder plaatsvinden, inclusief het testen op diverse configuraties, ervanuitgaand dat je de mankracht van Microsoft hebt. Dat betekent dus dat je makkelijk 90 iteraties kan hebben voordat je patch window verstrijkt, en dat zou toch echt meer dan genoeg moeten zijn. Dit zijn pessimistische schattingen; vermoedelijk kun je een nog veel hoger aantal iteraties behalen.

Het gaat hier dan ook eigenlijk puur om de financiele afweging die Microsoft maakt - hoeveel mankracht zijn ze bereid in te zetten om het lek zo snel mogelijk te patchen, mankracht die ze anders in hadden kunnen zetten in de "profit centers" van het bedrijf?

En dat is de basis van mijn redenering - bedrijven proberen hun winst te optimaliseren door de mankracht-inzet voor "security" zo laag mogelijk te houden. Wat mij betreft is dat onterecht; zij hebben zelf die lekken veroorzaakt, en zijn er dus ook voor verantwoordelijk om deze uit de wereld te helpen. Dat dat hen geld kost, is dan jammer - dat is het gevolg van het niet hebben van fatsoenlijke ontwikkel- en auditprocessen.

Dit is dan ook de onderliggende gedachte achter "harde" tijdslimieten op disclosure - een manier om bedrijven te verplichten tijdig te patchen, ongeacht wat hun financiele afwegingen op het gebied zijn. Het is een dwangmiddel, en het is er een die hard nodig is.
Ben ik het ook echt niet mee eens. Welk voordeel hebben we nu? Zijn gebruikers veiliger omdat ze weten dat dit lek er is? Gaat Microsoft sneller werken omdat dit lek nu op straat ligt? Op beide is het antwoord nee. Het veroorzaakt onrust bij de gebruikers, en Microsoft had al een fix, die vanwege compatibiliteitproblemen dus is ingetrokken. De enige mensen die hier nu blij mee zijn, zijn degene die dit lek willen misbruiken. En Google. Zij lijken ook best trots. Een harde 90 dagen deadline is onzin. Om verschillende redenen:
Kan je deze analyse herhalen, maar deze keer variabele 'Google' vervangen door 'kwaadaardige hackers'?

[Reactie gewijzigd door mohf op 16 januari 2015 22:14]

"Kwaadaardige Hackers" die zelf 0-day exploits kunnen ontwikkelen kunnen windows toch wel in via andere onbekende 0-days.

Nu Google de PoC code heeft geopenbaard kunnen ineens wel duizenden script-kiddies je aanvallen, waar je eerst niet bang van hoefde te zijn.

Ik ben het met Loller eens. Totaal onverantwoord gedrag van Google.
Nee, totaal onverantwoord van Microsoft dat ze weigeren het probleem **in 3 maanden tijd** (ffs...) op te lossen.

Je moet er namelijk standaard vanuit gaan dat blackhat hackertjes ook op de hoogte zijn van dit soort lekken. Nu krijg je 90 dagen de tijd om het op te lossen *voor* publicatie.
Na deze tijd wordt het gepubliceerd zodat System administrators, vooral in grote bedrijven die best kundig zijn, in ieder geval zelf nog kunnen kijken waar ze op moeten letten en eventueel een policy hier en daar aanpassen...

Wordt het niet gepubliceerd, dan is iedereen constant totaal niet op de hoogte van de beveiligingsproblemen, maar kunnen black hat hackers er wel hun lol mee hebben door te doen wat ze willen; want Microsoft lost het niet op, en niemand die het algemene publiek inlicht.

Het is dus niet Google die onverantwoord bezig is, maar Microsoft door niet op tijd te patchen.

En "ze kunnen er toch wel in via een andere weg" is natuurlijk een dom argument.
Dus omdat ze er "toch wel inkunnen" moet je de rest maar niet patchen of moet je alles maar geheim houden? Security by obscurity != security, leer dat nou eens!
Ja Google is hier het engeltje. En Microsoft de duivel die het allemaal niet wil oplossen. Geloof je nu werkelijk zelf wat je zegt. Het gaat Google alleen maar om eigen gewoon. En echt niet om een veilige wereld.
Google heeft belang bij een veilige wereld..
Ja ik en jij ook. En dat is goed voor de omzet. Onstabieler omgevingen geeft alleen maar problemen. :)
Google probeert al een tijd Microsoft de grond in te boren.
Eerst met Windows Phone, het was niet populair genoeg om apps er voor te maken en ondertussen maken ze het wel voor besturingssysteem zoals Firefox OS en andere onbekende besturingssystemen.
Nu met die beveiligingslekken maken ze iedereen ongerust mee want zo geef je hackers doelen waarop ze kunnen focussen, maar als er problemen met hun eigen besturingssystemen zijn hoor je ze niet.
Het begint steeds meer te lijken alsof Google alle macht wilt op dit gebied met Android en Chrome OS terwijl Android nog steeds een vervelende OS is wat enorm vertraagd en onstabiel wordt in de loop der jaren, en Chrome OS kan nogsteeds niet zonder internet.
Van mij mogen ze 1st hun eigen problemen oplossen en dan pas klagen over de anderen.
Begin steds meer en meer een hekel te krijgen aan Google.

Ze doen net alsof MS de boeman is.
Ze moeten eens kijken naar hun eigen systemen en dat dan voorrang geven op het repareren er van dan steeds maar zero day bugs op het WWW te gooien.

Alsof ze willen dat MS kapot misbruikt ten faveure van Chrome OS ofzo.

Ben hard aan het na denken wat voor OS mijn volgend toestel krijgt.
BB OS 10 / WP 8.1 / WP 10 of toch maar weer Android.
Google zegt niks over ms. Ze volgen gewoon hun richtlijnen mbt publicatie van lekken.

Nog een paar keer en ms gaat er wel voor zorgen dat ze de deadline halen.

Drie maanden is best lang, als het dan niet gefixt is heb je er geen prioriteit aan gegeven, dus vond je het niet belangrijk.

Compitabiliteitsissues is natuurlijk gewoon een eufenisme voor crappy code dat de jr programmeur is gemaakt.
Nou google, als je nou eens de lek in Android 4.3 en ouder fixt?

Lekken bekend maken van anderen en openbaar maken, maar eigen os fixen, ho maar.
Maar wat nou als fabrikanten van de telefoons nou eens zorgen dat ze geupadate worden naar een nieuwe Android versie.

Dat is het verschil tussen Microsoft en google, Microsoft heeft alles in eigen beheer en google absoluut niet. Ja sommige dingen kunnen via de play service, maar zeker niet alles.
Nu moet je natuurlijk niet gaan verlangen dat die OEMs de fixes doorsturen voor Android 4.3 en lager toestellen, als Google niet eens met bijgewerkte versies van Android 4.3 en lager over de brug komt.
Maar is de bijgewerkte versie niet Android 4.4?
Of zie ik dat verkeerd?
Veel telefoons werken slecht of traag op nieuwe Androidversies, als er al een rom voor beschikbaar is (juist daarom niet eigenlijk), het is hardware gerelateerd.
Veel Androids zijn dus niet te upgraden naar 4.4.
Waar mogelijk, zonder prestatieverlies, zullen fabrikanten dat vast aanbieden, de rest heeft pech.

Dus dan is de volgende stelling......dan moeten ze maar een nieuwe telefoon kopen als ze veilig willen blijven met Android toch?
En dat ca elke twee jaar, want Googles ondersteuning gaat niet verder blijkbaar.

Dat een (nog niet zo) oud OS geen nieuwe features meer krijgt is wat anders dan het van beveiligingsupdates blijven voorzien, beiden lijken me logisch, helemaal als daar nog 930 miljoen telefoons mee in omloop zijn.
930 miljoen mensen nieuwe telefoons afdwingen is op zijn zachts uitgedrukt schandalig toch?
Of zie ik dat verkeerd en moet ik wat meer commercieel denken?

[Reactie gewijzigd door Teijgetje op 16 januari 2015 23:36]

Veel telefoons werken slecht of traag op nieuwe Androidversies, als er al een rom voor beschikbaar is (juist daarom niet eigenlijk), het is hardware gerelateerd.
Veel Androids zijn dus niet te upgraden naar 4.4.
Waar mogelijk, zonder prestatieverlies, zullen fabrikanten dat vast aanbieden, de rest heeft pech.

Dus dan is de volgende stelling......dan moeten ze maar een nieuwe telefoon kopen als ze veilig willen blijven met Android toch?
Daarom koop je beter een BlackBerry, Iphone of Lumnia. Dan kun je gewoon rekenen op langdurige support van je fabrikant.

Het beleid van Google om rondom een Major veiligheidslek zelf 2x microsoft zwart te maken ipv hun eigen gaten te dichten is gewoon schandalig.
Het beleid van Google om rondom een Major veiligheidslek zelf 2x microsoft zwart te maken ipv hun eigen gaten te dichten is gewoon schandalig.
Google heeft het lek gedicht, het heet Android 4.4.
Zelfs ALS ze het patchen in 4.3 moeten ze alsnog wachten, en hopen, dat de fabrikanten de patch doorvoeren... Doen ze dat niet, dan is het natuurlijk leuk en aardig dat Google dit gepatched heeft, maar de eindgebruiker schiet er niets mee op als de fabrikant de update niet doorstuurt.
Ik ben het wel met nul07 eens, ze weten toch dat 60% 4.3 of lager draait. Die cijfers komen nota bene bij Google vandaan.
En ze kennen toch het updatebeleid van veel fabrikanten, die wel moeten betalen om er Android op te mogen zetten.
Die kunnen 4.3 niet patchen als Google daar geen patches voor vrijgeeft.
Ik niet. Maar ik heb elders al gereageerd op nul07.
nul07 heeft meerdere malen hetzelfde antwoord gecopy/paste en het vervolgens onder meerdere reacties hier neergezet.

Lijkt me onzinnig om er dan constant bij elke reactie op te reageren. :)
Net zo onzinnig als twee keer reageren dat je er niet op reageert misschien? ;)
Nee, de 2e keer was een reactie op jou aanname dat ik niet inhoudelijk gereageerd had. :)
En nu is het wel weer leuk geweest met de slowchat hier...
Google weet dat die 'patch' in de vorm voor ~80% van de google androids met 4.3 geen updates krijgen naar 4.4 of hoger, en dat nu >60% vd telefoons op 4.3 of later zit.

Niet de fabrikanten maar Google is de maker van de webviewer. Google ka prima zelf via play-services veiligheidsheidszaken toevoegen, net zo als ze deze app-scanner ook via ps hebben toegevoegd op alle androids met 2.3 of hoger.

Ik vraag mij dan af,
Waarom krijg je via play services wel, verplichte bloatware gepushed als google books,play movies gepushed en geen veiligheidsupdate voor het probleem?
Ik zie dat je dezelfde reactie meerdere malen copy/paste onder reacties; ik ga niet meer dan 1x antwoord geven op dezelfde post/vraag. Spam iemand anders maar met dezelfde reacties. :)
Een telefoon die Android 4.3 draait kan ook 4.4 draaien, en zal dan zelfs beter werken... Dat is dus absoluut niet het probleem. ;)
Nee, de fabrikanten *moeten* gewoon die patch doorvoeren, punt.
Google heeft rechten genoeg over jouw telefoon, die kunnen beveiligingsupdates ook pushen.

Maar het is wel makkelijker je achter een ander te verschuilen.... ;)
Maar het is wel makkelijker je achter een ander te verschuilen....
Okee, hold that thought... I'll humor you.

Hypothetische situatie (of realiteit, wie weet...):
- Jij bent systeem beheerder bij een bedrijf dat voor andere bedrijven het netwerk onderhoudt, en verantwoordelijk voor de uitrol van patches.
- Microsoft stuurt jou patches om een beveiligings probleem op te lossen
- Jij stuurt deze patches niet door naar je klanten

... Wie is de schuldige dat de lekken niet gedicht worden? Jij of Microsoft?
Volgens jou beredenering is Microsoft de schuldige en is het "achter een ander verschuilen" als Microsoft jou (terecht) de schuld geeft.

Of gaat die redenatie dan opeens niet meer op? ;)
En let wel, Microsoft heeft ook de mogelijkheden om direct naar de workstations de patches te versturen; met of zonder toestemming van jou; en of er nou voldoende rechten zijn of niet. (Kunnen ze zo inbakken...)

[Reactie gewijzigd door WhatsappHack op 17 januari 2015 01:34]

Jouw Googles) patch is een upgrade, hoe je het ook wendt of keert.
XP (4.3 en lager) werkte voor velen prima en is lang ondersteund zonder gedwongen te worden naar Vista te gaan of een nieuwe PC (telefoon) aan te schaffen.

MS verplicht je niet te upgraden naar een nieuwer OS, die patchte gewoon het oude.
En ja, als je die patch dan niet doorgeeft is het jouw (Samsung, HTC, Sony,LG, etc) schuld.
Maar dan moet je die dus wel hebben om te beginnen. ;)
Jouw Googles) patch is een upgrade, hoe je het ook wendt of keert.
XP (4.3 en lager) werkte voor velen prima en is lang ondersteund zonder gedwongen te worden naar Vista te gaan of een nieuwe PC (telefoon) aan te schaffen.
Je bent de Service Packs alweer vergeten? :)
Niet gedwongen naar Vista te gaan, maar wel gedwongen om bepaalde service packs te gebruiken als je nog bepaalde software updates, driver updates of ja: zelfs bepaalde beveiligingsupdates, wenst te ontvangen.

Android verplicht je ook niet om van 4.3 naar 5.0 te gaan; maar wel van 4.3 naar 4.4 als je nieuwe patches wil.
Dat is dus precies hetzelfde als wat Microsoft deed met service packs, dus dit is de zoveelste keer in dit hele topic dat je iets dat Google doet afkeurt, maar je zegt als Microsoft exact hetzelfde doet dat het dan wel goed is. :P
Maar dan moet je die dus wel hebben om te beginnen
Bingo! En die hebben ze ook.
Het heet Android 4.4, en bevat prima al die patches.

[Reactie gewijzigd door WhatsappHack op 17 januari 2015 02:16]

Google kijkt niet naar hun eigen fouten.
Want Android wat vertraagd en onstabiel wordt, waar ondertussen nog meer beveiligingslekken in zitten dan Windows boeit hun niet.
Want ze maken ook al geen apps meer voor Windows Phone omdat het "niet populair genoeg is" maar ze maken wel voor nog minder populaire OS'en zoals Firefox OS.
Ze proberen gewoon Microsoft de grond in te boren door hun eigen fouten te negeren en Microsoft zijn fouten bekend te maken.
Tsja, als je net hebt aangekondigd dat je een kleine miljard mobiele gebruikers gedag zwaait, dan is wat publieke afleiding 'before, during and after' blijkbaar reden genoeg voor catch-as-catch-can.
Lekken worden gedicht. Het is afhankelijk van de fabrikant van de telefoon en hardware fabrikanten of de update kan worden uitgevoerd. Dus onzin wat je hier aangeeft.
Het is afhankelijk van Google en de fabrikanten, maar Google zelf al gaf een dikke middelvinger voor mensen met 4.3 of ouder, daar kan een fabrikant sowieso niks mee.
daar kan een fabrikant sowieso niks mee.
De Fabrikant kan updaten naar 4.4...
Dat klopt wel, maar helaas doen ze dat niet en halen ze vieze trukjes uit de kast zodat jij een nieuw toestel koopt.
Maar is dat dan de schuld van Google; of van de fabrikant?
Kijk namelijk even naar de Nexus toestellen, ongeacht fabrikant, die door Google onderhouden worden...

... Mooi dat die wel alle veiligheidpatches hebben hoor. :)
Beide, Google kan via Play Service de nodige patch doorvoeren als een fabrikant de telefoon niet een update geeft.
Dat gaan ze vanaf Android 5.0 ook doen, omdat de ervaring van Google uitwees dat fabrikanten te laks omgaan met beveiliging en nodige updates; zo ook hier duidelijk te zien is.

Dus wat doet Google? Die onderneemt stappen. Ze nemen de verantwoordelijkheid die eigenlijk bij de fabrikant ligt (updates verschaffen aan klatnen) op zich, althans: deels, en zorgen ervoor dat zij nu *wel* zelf kunnen updaten; vanaf de nieuwere Android versies.

Houdt niet in dat je ze daarom alsnog maar verantwoordelijk moet stellen voor het wanbeleid van fabrikanten om beveiligings patches niet door te voeren en telefoons op verouderde Android versies te houden (aldanniet om verkoop cijfers te pushen).
Klopt maar je ziet dat bij andere smartphone fabrikanten het blijkbaar beter gaat, Google had dat jaren terug moeten bedenken.

(andere smartphone fabrikanten die telefoons ZONDER Android uitbrengen)

[Reactie gewijzigd door Mizgala28 op 17 januari 2015 01:41]

Dit is gewoon slecht van Google, jij koopt een telefoon met Android 4.3 of ouder omdat je geen geld heb voor 1 met 4.4 maar je 4.3 of ouder wordt niet geupdate.
Ondertussen moet je er 2 jaar mee doen vanwege je provider dus je hebt soort van pech.
Lekker bezig Goochel... Effe serieus, ze stellen miljoenen, zo niet miljarden, aan een enorm beveiligingsrisico bloot. En dat Microsoft het niet op tijd fixt, nou hebben ze liever dat, voor zover ze die hebben, al hun Windows workstations onbruikbaar zijn ofzo? Ik vind het in ieder geval goed dat Microsoft de patch nog even uitstelt.
Google gebruikt Linux of OSX. Windows is verboden voor hun medewerkers mits met zeer goed onderbouwde reden.
Heb je ook al op de link in het artikel geklikt? Volgens mij staan daar drie OSX problemen en maar ÚÚn Microsoft....Dus wat je zegt lijkt niet op te gaan.
Dat maakt het laten lekken van dit soort kwetsbaarheden alleen maar gemener. Ze hebben er zelf geen last van, maar gooien miljoenen pc's open voor deze kwetsbaarheden door ze openbaar te maken.
Het is gemener als het lek niet naar buiten wordt gebracht en MS er zoals vroeger te lang over doet om het te fixen. Kunnen alle hackers er mooi gebruik van maken terwijl niemand het door heeft.

Liever dat ze op deze manier worden geforceerd eens door te werken aan het fixen van beveiligingsbugs.
Maar wanneer denk jij dat er meer hackers los gaan? Met dit mooi beschikbaar gemaakt door Google, of wanneer het nog redelijk geheim is?

Lijkt mij dat google hier nu ongewenst veel hackers een stok geeft om mee te slaan.
Lijkt mij dat google hier nu ongewenst veel hackers een stok geeft om mee te slaan.
Op de korte termijn: ja. Op de langere termijn: nee; het zal echt niet lang duren voordat MS leert dat ze niet moeten klagen, maar hun bugs op moeten lossen. Daar wordt, uiteindelijk, iedereen beter van.
Het is juist gevaarlijker als het geheim is en ze gaan ermee aan de haal... De mensen die 0days kopen (en daar wordt soms *grof* geld voor betaald) zijn vaak niet de mensen waarvan je zou willen dat ze een 0day in handen hebben...

Dat is de kracht van een 0day; niemand kent het, het is niet gepatched, etc.
Google probeert dat nu dus tegen te gaan.
En de hackers die niet op de hoogte waren van het lek weten het nu ook en kunnen er ook misbruik van maken. Bedankt Google.

Google heeft zogenaamd het doel om het internet veiliger te maken. Dat doen ze door te wijzen op fouten in een ander OS terwijl Android zo lek is als een mandje, ze te besodemietert zijn om apps in de PLay Store goed te controlleren waardoor het vol zit met malware en ze Android versies ouder dan 4.4 nog te patchen en ondertussen de privacy van de gebruikers zien als iets om keihard geld te verdienen en er geen reet om geven.
Goed werk Google!
Android zo lek als een mandje? Hoe kom je daar bij? :)
Graag bron en uitleg.

Android is zo lek als je het zelf maakt, als je apps gaat sideloaden die volgeladen zijn met troep en deze niet vooraf laat scannen met de pakketscanner *of* een aparte virusscanner: dan is dat toch wel je eigen schuld... Zeker omdat je expliciet wordt gewezen op de gevaren *voor* je uberhaupt uit onbekende bron kan installeren.

De Play Store wordt over het algemeen best goed gecontroleerd trouwens, maar goed.
Ga er ten eerste maar vanuit dat de hackers meer exploits hebben waar google en ms niets van weten om van de nsa maar niet te spreken.
Als ms slim is doen ze gewoon hetzelfde wat google doet maar dan gericht op alleen de google apps (en apps in de store). Daar heeft de consument echt wat aan: veel geplette bugs en miljarden dollars budget om te onderzoeken. Zo'n wapenwedloop met zoveel dollars is wellicht wel opgewassen tegen criminelen die hun voordeel doen met 0days.
Wat komt toch het iets vandaan dat Microsoft broer niet op tijd patches uit bracht. Of wordt hier gewoon de andere na geblaad.
Dan moeten die miljoenen maar net zoals Google een veiliger os gebruiken, vind het zelf een mooie actie van Google en ze hebben ook nog eens 90 dagen aan MS gegeven, genoeg tijd om te fixen lijkt mij.

En nee, van mij mag Google dit ook met Linux doen ook al gebruik ik zelf een Linux distro. Ben namelijk zeker dat een kritiek veiligheidsprobleem ruimschoots binnen de 90 dagen opgelost is.

Overigens plaatsen ze ook osx kwetsbaarheden ondanks dat ze dat zelf ook gebruiken: https://code.google.com/p...rity-research/issues/list

[Reactie gewijzigd door Skull88 op 17 januari 2015 00:03]

* Tenzij met zeer goede reden. Mits wil zeggen op 'op voorwaarde dat'. (klik)

Maar goed, vrij flauw natuurlijk dit. Wat voegt het publiceren van lekken nou precies toe behalve het neten van Microsoft? Wie wordt hier nou werkelijk beter van?

[Reactie gewijzigd door MartijnGP op 16 januari 2015 21:51]

Het houdt druk op de ketel. Dat Microsoft weigert om (grove) problemen binnen 90 dagen op te lossen is een gotspe. Dus als dit soort lekken gewoon gepubliceerd worden zodra de deadline voorbij is, geeft dat Microsoft een schop onder de hol om gewoon eens door te werken en de deadline te halen.

Ik bedoel, je moet er *altijd* vanuit gaan dat (getrainde) hackers ook op de hoogte zijn, of er ook achtergekomen zijn in die 3 maanden. Er *moet* dus een fix komen. Dat Microsoft er dan zo laks mee omgaat... Tja, dat is hun eigen schuld.

Wie worden er dus werkelijk beter van? Alle gebruikers van Windows.
En dat is trouwens niet enkel dankzij Google hoor, alleen omdat het nu een relletje is komt het in de media; er worden wel vaker lekken gepubliceerd; en Google doet het dan nog netjes: die geeft Microsoft 90 dagen. Veel mensen publiceren het zonder Microsoft ook maar op de hoogte te stellen... Sterker nog: sommigen publiceren het helemaal niet en verkopen het op de zwarte markt als 0day...

... En dit hele Google project is er dus om te zorgen dat die 0days niets waard zijn, door er zoveel mogelijk op te sporen en Microsoft op de hoogte te stellen.
Prima dus! Kan het alleen maar toejuichen.
Volkomen terecht natuurlijk. Als ik een dergelijk bedrijf zou hebben zou ik ook inzetten op eigen software, al was het maar om een gigantisch bedrag te besparen op overbodige Windows-licenties.
Om daarna twee keer zoveel aan training en implementatie uit geven ?
Of gewoon de mensen die er niet mee om kunnen gaan te vertrekken. Ik ga mijn medewerkers toch ook geen cursus Mercedes rijden geven als dat net de vrije auto in de pool is.
Trainen voor een os doe je maar in je eigen tijd: dat zijn basisskills.
Precies. Een bureaublad is een bureaublad, ongeacht of je met Windows, Linux of MacOS werkt. Er staan pictogrammen op (snelkoppelingen) naar applicaties. Er is een start-menu, starter (MacOS) of simpelweg tegels op je scherm van waar je programma's kunt starten.

Er moet dus niet gedaan worden alsof iemand met enkel Windows-kennis niet op een Ubuntu of Mac-systeem zou kunnen werken. Kwestie van gewenning en de wil om het te begrijpen. Tenslotte wordt er niemand geboren die al deze kennis bereids in pacht heeft - ook het omgaan met Windows moest ooit een keer worden geleerd.

Vind het sowieso knap hypocriet; het verschil in design tussen Windows 7 en Windows 8 is ingrijpender dan het verschil tussen Windows 7 en Ubuntu. Gek genoeg zijn er zat mensen die Windows 8(.1) wel omarmen maar beweren dat Linux er te ingewikkeld uit ziet ?

Daarbij ben ik der mening dat je aan een goed geconfigureerd Linux of MacOS systeem minder onderhoud nodig hebt en minder risico op malware / virussen loopt dan op een Windows-systeem. Het kost initieel misschien even wat meer werk om alles in te richten en te wennen, maar je zult er vervolgens minder aan hoeven te sleutelen en bespaart een fortuin aan Windows-licenties.

[Reactie gewijzigd door Titan_Fox op 17 januari 2015 10:41]

Ah de IT`ers met het Ubermensch complex "ik snap het en jij bent dom dat je het niet begrijpt" moet toch lekker zijn als je zo rechtlijnig kan denken en aan andere mensen lak kan hebben.
Nee, je zegt het verkeerd. Mensen die het niet snappen zijn per definitie helemaal niet dom. Ze zijn simpelweg vastgeroest in oude gewoonten en kijken uit onwillendheid niet verder dan hun neus lang is.

De reden dat ik met Linux overweg kan is omdat ik het WIL begrijpen. Ik vind het belangrijk om mijn kennis te vergroten. Je kunt me dus niet beschuldigen van rechtlijnig denken.
Kennelijk wil je je kennis niet in Windows steken, want dan had je niet kunnen zeggen dat linux minder onderhoud nodig heeft. Want hoeveel onderhoud heeft Windows nu eigenlijk nodig. En is dit nu echt meer of minder dan linux.
Ik werk al met Windows sinds 3.11, daarvoor werkte ik enkel met MS-DOS. Windows-kennis heb ik meer dan genoeg. Met Linux werk in nu zo'n 15 jaar. Daarom denk ik wel dat ik een aardige inschatting kan maken hoeveel onderhoud systemen nodig hebben.
Ja ik onderhoud dagelijks het Windows netwerk hier en dat is me toch een puist werk. Eigenlijk niet zoveel werk. En ik zie niet in waarom dat met linux minder zou moeten zijn. En ik werk ook al een behoorlijk tijdje in de IT. Ook wel is met linux gewerkt maar niet veel.maar de keren dat ik dat deed, kosten het me een dag nadat iemand er al op vast was gelopen om een linux PC werkend te krijgen. Moet wel toegeven dat ze PC hadden besteld die juist niet voor linux waren gecertificeerd van ibm. Terwijl die er wel waren.
Ach, over een poosje draaien toch al die kantoorapplicaties vanuit de cloud (en je browser) waardoor het niet langer uitmaakt welk OS je draait. Google doet dat al met hun office-pakket. Als het zo ver is heb je feitelijk geen reden meer om Windows te gebruiken en zullen steeds meer mensen voor Linux kiezen omdat je daar niet voor hoeft te betalen.
Ja want Windows kost ook zo duur. Ik heb liever Windows dan de ellende van linux,
Het is "Windows kost veel" of "Windows is duur".

Maar dat terzijde. Je geeft in je vorige reactie al aan dat je niet veel met Linux hebt gewerkt dus feitelijk kun je geen fatsoenlijk oordeel vellen. Smaken verschillen nu eenmaal.

Ik vind dat Windows veel kwetsbaarder is dan Linux. Niet enkel op het gebied van virussen en malware, maar ook door de relatief lange tijd die vaak nodig is om veiligheidsluiken te patchen en de monolitische opbouw van het OS. Het is door de jaren een traag gedrocht geworden.

Daarbij werkten tot nog toe vrijwel alle systemen die ik met Linux heb ge´nstalleerd volledig "out-of-the-box". Geen geklooi met handmatig zoeken, downloaden en installeren van drivers en uren bezig zijn met het installeren van updates.

Bij een schone Windows installatie werkte vaak uitgerekend de netwerkdriver niet, die moest je dan met een andere PC downloaden (als je eenmaal had ontdekt welk merk en type het was) en op een USB-stick zetten. Het installeren van alle Windows-updates duurde bijna 2 uur omdat die .NET updates altijd een eeuw nodig hebben. Tussendoor zeker 5 of 6x opnieuw moeten opstarten.

Mijn schone Ubuntu installatie had bereids alle drivers geactiveerd en kon direct aan de slag. Het geheel bijwerken van het systeem duurde ongeveer 10 minuten en vergde slechts 1x opnieuw opstarten om mijn nieuwe grafische driver fatsoenlijk te laden.

Daarom zeg ik; in mijn beleving heb je aan Windows meer werk om het fatsoenlijk aan de praat te krijgen dan veel Linux-distributies.

[Reactie gewijzigd door Titan_Fox op 18 januari 2015 01:18]

Nou moet je niet gaan overdrijven. Met zes keer opnieuw opstarten. Windows installeren kan in ÚÚn keer zonder opstarten. Net als uw geliefde Linux Dat Windows PC Soms een lange update weg hebben komt eigen lijk door dat de installatie dvd of images, eigen behoorlijk achterlopen daar zou MS en de fabrikanten iets aan kunnen doen.
Maar dat kan als beheerder wel onderscheppen door een .wim te bouwen met dism of imagex.

Dat alles in en keer werkt ligt voornamelijk aan de hardware zo als ik al zei.

Windows net zo als Linux door de jaren heen en stuk verbetert net zoals als linux,
dat clichÚ gedachten over Windows is natuurlijk
alleen maar een oneerlijk sneer naar Windows.

[Reactie gewijzigd door trisje op 19 januari 2015 09:10]

Waarom zou je als boekhouder, receptionist, of andere bureauwerker, je gewoonte moeten aanpassen ? Omdat wat IT personeel denkt te weten wat het beste is ??
Jazeker. Je gaat als IT-er toch ook niet zeggen tegen de boekhouder: "Ik dien m'n declaraties lekker op mijn eigen manier in, want dat ben ik zo gewend."
En welk bedrijf accepteert het nou dat de receptionist eist dat er een andere telefooncentrale komt, omdat hij aan de huidige niet gewend is?
Natuurlijk bepaald IT, hopelijk na gedegen onderzoek, welke software op de computers draait.
Wat een onzin, training van software hoort in de werkgevers zijn tijd. Hij wil dat je iets gebruikt dat jij nog niet Kent. En dat ze kunnen vertrekken is natuurlijk helemaal zot. Jij snapt echt niet hoe het in de echte wereld werkt. Als je zo houding hebt als bad kan je naar en tijdje het werk alleen doen. Want niemand is echt ge´nteresseerd om voor iemand te moeten werken die alleen maar onredelijke eisen weet te stellen aan zijn personeel.

[Reactie gewijzigd door trisje op 17 januari 2015 12:56]

Mijn hele bedrijf draait op linux, ben verder de enige met verstand uberhaupt van computers. Zonder enige training kan iedereen gewoon aan de slag. Alleen onze webshop software verdient wat uitleg.

Je moet gewoon kijien naar wat je moet oplossen en welke tools je daarvoor nodig hebt. En dan wint Windows het niet vaak in prijs/prestatie.
Met linux loop je wel degelijk tegen een aantal problemen aan. Al was het alleen al met compatibiliteits problemen met software en ook hardware. Mensen met een gedegen kennis van Excel of Access moeten echt even omschakelen. Ook documenten die binnen komen en er gewoon anders uitzien in bv Open office of liberty. Kan problemen geven. Dan hebben we het nog niet gehad over bedrijfs software die herschreven dient te worden. Intranet sites of extravert sites die vaak met extra software tools toegankelijk worden. Ja gewoon een briefje tikken, printen,emailen en wat browsen is het probleem niet en is nagenoeg niet anders. Maar dat is niet altijd van toepassings.
Mensen met gedegen kennis van excel en access moet je meteen je organisatie uitzetten, levensgevaarlijk voor je bedrijfscontinuiteit. Software ontwikkelen laat je aan de experts over, maar dat is een andere discussie.

Je hebt het nu over migratie van Windows naar linux, dat hebben wij nooit gedaan. Maar het zou wel andersom kunnen, van linux naar Windows. we gebruiken alleen tools die overal werken, dus dat is minder een issue dan.

Maar mijn punt was dat wij nooit mensen hebben getraind in het gebruik van linux of open office. Er zit niet zoveel verschil in 99% van de taken. Zoals je zelf ook al aangeeft
Met de eerste zin haal je je geloofwaardigheid ver onderuit... Excel kan een professioneel pakket zijn waar je vaardigheid in moet hebben. Als jij wilt rapporteren of cijferzaken wilt automatiseren is Excel wel zo handig. Het is een power tool. Dat veel mensen niet verder komen dan som(a1:a9) is een ander verhaal. Excel is heel geschikt om data uit verschillende bronnen inzichtelijk te maken. Juist handig voor je bedrijfscontinuiteit.... En of iemand zich nu verdiept in pakket x of y... Excel is marktleider. Dus daar zul je de meeste expertise en hulp vinden. Wat is 'jouw hele bedrijf eigenlijk'? ;)
In mijn dagen als it consultant (ong 9 mnd geleden :P) ben ik diverse keren excel binnen een bedrijfsproces tegengekomen. Nooit excel op de juiste manier zien worden ingezet, altijd met ononderhoudbare vba code en formules waar niemand van wist wat het functioneel doel was.

Voor sommige taken gebruik ik ook een spreadsheet en kan het heep krachtig zijn. Maar in praktijk wordt het te vaak gebruikt ipv een echte applicatie met centrale opslag en multi user ondersteuning. Data uit verschillende bronnen combineren en analyseren op eebln herhaalbare manier doe je met warehousing, niet met excel.

Ben het wel met je eens on theorie, maar in praktijk is het gewoon een ramp.

Maar ook dit gaat buiten mijn punt;) wat mijn bedrijf doet is niet relevant hier, maar kun je vast wel vinden:)
Mijn punt is meer dat u niet graag iemand in dienst hebt die slimmer is dan u. Die zou u gelijk uit uw organisatie zetten. Je kan dat gedeeltelijk zien als een migratie maar ook mensen die van een organisatie komen brengen even gewennings verschijnselen. Zeg niet dat het niet zonder cursus kan maar als blijkt dat het nodig is is uw makkelijkste weg uit de organisatie zetten.

[Reactie gewijzigd door trisje op 17 januari 2015 23:17]

Gaat niet over slimmer. Gaat over continu´teit. Iemand prutst iets in elkaar en niemand anders kan dat onderhouden. Dat is gevaarlijk voor je bedrijf
Mmm.uw website heeft continu´teit nodig zie ik.
De spreadsheets die ik bij ons tegenkom zitten zonder uitzondering vol fouten waaruit verkeerde conclusies getrokken zouden kunnen worden. Dat zijn meestal simpele zaken en varieert van formules met verkeerde verwijzingen (die kunnen ontstaan als je een waarde verplaatst) tot sommaties over tekst in plaats van getallen. Ook autocorrectie kan een bron van fouten zijn als je niet blind kunt typen. En wat die gekleurde hoekjes in de cel betekenen weten de meesten ook niet.
Als je met Windows kunt werken kun je in de meeste gevallen ook met Linux overweg. Bureaubladomgevingen zijn vergelijkbaar. Het is simpelweg een kwestie van willen. Probleem is dat veel mensen zijn vastgeroest in het gebruiken van Windows en er een onwil is om naar alternatieven te zoeken. Mensen zijn nu eenmaal gewoontedieren.
Nee, dat is het niet. Voor bijna geen enkel softwarepakket voor Windows is een gelijkwaardig Linux alternatief, en zeker niet voor bedrijven.
En met hun vele anderen. Ondergetekende met volle tevredenheid
Google kijkt niet naar hun eigen fouten in hun eigen OS'en.
Maar wel naar die van MS.
Wie denken ze wel dat ze zijn Google. Niemand wordt hier beter van. Wij zijn het slachtoffer. Google meent lekker internet politie te spelen. Ze worden met de dag arroganter. Microsoft wordt met de dag aangenamer. De enige rede waarom Google dit doet is om Microsoft meer in het negatieve daglicht te stellen. Waarschijnlijk bang voor Windows 10 en hopend op een Chrome succes. Microsoft zou net zo goed tientallen lekken in Android kunnen blootstellen maar nee dat doen ze niet. Stiekem hoop ik dat ze het wel gaan doen als Google zo door gaat.
Microsoft zou net zo goed tientallen lekken in Android kunnen blootstellen
De voorbije dagen hebben bewezen dat Microsoft dat niet hoeft te doen, de community van Android doet het voor hen... Google zou eerst maar eens moeten zorgen dat ze zelf hun zaakjes op orde hebben. Met 1 miljard klanten kwetsbaar, zou ik me toch ergens anders mee bezighouden dan andere bedrijven het leven voor niks zuur te maken...
Dat artikel geeft eigenlijk aan dat Google de zaken wel op orde heeft, maar de fabrikanten niet.
Google heeft een patch voor die bug al **een jaar geleden** uitgegeven. En de naam is: Android 4.4.

Dat fabrikanten vervolgens niet updaten, kan je moeilijk Google de schuld van geven.
Bovendien, als Google het wel patched, moet je alsnog wachten tot de fabrikant de firmware ook update en dat verstuurt; Google kan niet zomaar firmware voor fabrikanten gaan pushen...

En de Nexus apparaten...? Die Google dus zelf onderhoud?
Surprise!!! Die zijn allemaal gepatched omdat die ondertussen zelfs al Android 5.0 draaien.

Kortom: Neen, Google heeft de zaken gewoon op orde. Je moet bij de fabrikanten mekkeren omdat ze de patches van Google niet doorvoeren in hun eigen firmware updates.
Ik ben geen slachtoffer hoor als geen Windows gebruiker :)
als je OSX gebruiker ben, ben je NOG niet het slachtoffer, maar google is arrogant genoeg om dit soort grapjes ook met OSX uit te halen. En als je chrome os gebruik ben je nog meer het slachtoffer, want dan ben je dus helemaal bezit van Google.
En krijg je geen patches meer.......
Ik ben idd OSX en een Unix gebruiker :). En alls het erom gaat is Apple vaak vrijstel met updates dus het zal allemaal wel meevallen. microsoft moet gewoon niet huilen en hun werk doen. En als je er als Windows gebruiker niet mee eens bent moet je een ander platform kiezen of een leven zoeken.
Precies...

Alle leuke uitleg hierboven van diverse mensen...

Maar het draait maar om 1 ding en dat is MACHT en google is gewoon veel en veel te machtig en probeert op deze wijze de concurentie in een kwaad daglicht te stellen met als enig doel er zelf beter van te worden.

Denken er nu werkelijk mensen dat Google dit doet uit de goedheid van hun hart en dat ze het beste met ons voorhebben ??
Wordt dan maar gauw wakker uit je naieve slaap want google wil maar 1 ding en dat is rijk woren over onze ruggen !!!
Android en Chrome OS zitten vol met lekken.
Daarom vertrouw ik deze 2 niet meer.
Mijn vertrouwen in Google zijn al verdwenen.
Ze proberen MS de grond in te duwen door hun eigen troep te negeren.
Waarom zeiken mensen over dat Google telefoons van andere fabrikanten niet update. Dat is volgens mij de verantwoordelijkheid van de fabrikanten zelf. De Nexus 4 van 2 jaar geleden heeft Android 5.0.1, dus Google brengt wel degelijk updates uit naar oudere telefoons. Alleen doen fabrikanten dat niet maar dat is dan toch opeens Google zijn schuld?
Amen.
Google heeft de problemen al gepatched, en het heet Android 4.4. Die kan gewoon prima op elk toestel die ook Android 4.3 draait komen te staan, zonder problemen, lags, et cetera.

Dat de fabrikanten vervolgens weigeren om deze update uit te brengen, dat kan je Google niet aanrekenen. Google heeft gewoon netjes de boel gepatched, en de fabrikanten zetten deze patch niet door; dan kan je moeilijk Google boos aankijken. :X
Android heeft geen update meganisme zoals windows update.Nieuwere versies zullen via de providers moeten komen.Zodat die hun eigen schil eroverheen kunnen gooien.
Of je root het device en installeer zelf een nieuwere versie.Wij weten allemaal dat dat voor veel mensen juist geen optie is.

[Reactie gewijzigd door zvbhvb op 17 januari 2015 10:55]

Ligt maar net aan het type device dat je hebt. Op een Nexus toestel hoef je niet te rooten om de nieuwste versies als eerste te krijgen. Het is puur aan de fabrikant om zsm een update uit te rollen. :)
Hmm goeie.Dan weet ik wel wat mijn volgende toestel wordt.
Het probleem is niet gepatched. De hele webviewer is uit die versie gehaald, en vervangen door chrome.

Google weet dat >80% van de google androids geen updates krijgen, en >60% vd telefoons op 4.3 of later blijft.

Ze kunnen prima zelf via play-services veiligheidsheidszaken toevoegen, net zo als ze deze app-scanner ook via ps hebben toegevoegd op alle androids met 2.3 of hoger.

Ik vraag mij dan af,
Waarom krijg je via play services wel, verplichte bloatware gepushed als google books,play movies gepushed en geen veiligheidsupdate voor het probleem?
Waarom krijg je via play services wel, verplichte bloatware gepushed als google books,play movies gepushed en geen veiligheidsupdate voor het probleem?
Omdat de browser functionaliteiten vaak door de fabrikant aangepast wordt, danwel in eigen naam onderhouden wordt door het aanpassen van de Google bron.
Google Services staan los van wat de fabrikant doet met de overige *standaard* onderdelen van Android om het naar eigen smaak in te richten.

Als je bijvoorbeeld custom roms draait die op een vanilla versie van Android draaien kan je wel patchen. ;)
Met alle respect, maar dat is alleen voor de gevorderde tweakers. Het overgrote deel van de Android gebruikers zal dat niet doen. Het beheer van Google over Android is op zijn zachtst gezegd een zooitje. Dan kun je wel zeggen Open Source Project, Providers, diversiteit aan hardware, etc. Maar zij brengen het wel op de markt, schuiven hun hele suite aan diensten naar binnen en verdienen er veel geld mee. Dus ze hebben daar een verantwoordelijkheid.

Microsoft is niet heilig en door schade en schande wijs geworden met Windows over de jaren. Hier zie je ook het verschil tussen de kern van deze bedrijven. Microsoft een 'oud' bedrijf gericht op het verkopen van software (die ze daarna moesten onderhouden). Google een 'nieuw' bedrijf gericht op het verkrijgen van data (door services te pushen) op basis waarvan advertenties verkocht worden.

Met betrekking tot dit voorval. Het toontje van Google klopt hier gewoon niet. De pot die de ketel verwijt. Dit hele akkefietje - het zoveelste - straalt marketing uit. Ga mij niet vertellen dat Google nu opeens de hoedster is van de veiligheid van gebruikers van Microsoft producten. Er is geen grotere rivaliteit in Silicon Valley dan die tussen Microsoft en Google...
Met alle respect, maar dat is alleen voor de gevorderde tweakers. Het overgrote deel van de Android gebruikers zal dat niet doen. Het beheer van Google over Android is op zijn zachtst gezegd een zooitje. Dan kun je wel zeggen Open Source Project, Providers, diversiteit aan hardware, etc. Maar zij brengen het wel op de markt, schuiven hun hele suite aan diensten naar binnen en verdienen er veel geld mee. Dus ze hebben daar een verantwoordelijkheid.
En de fabrikanten, die er veel meer aan verdienen, hebben geen verantwoordelijkheden? ;)
Dus Google moet *alles* maar regelen en onderhouden, zelfs alle verschillende schilletjes om Android heen van de andere fabrikanten?

Poeh... Dat is nogal een taak.
Met betrekking tot dit voorval. Het toontje van Google klopt hier gewoon niet. De pot die de ketel verwijt. Dit hele akkefietje - het zoveelste - straalt marketing uit. Ga mij niet vertellen dat Google nu opeens de hoedster is van de veiligheid van gebruikers van Microsoft producten. Er is geen grotere rivaliteit in Silicon Valley dan die tussen Microsoft en Google...
Mja, dat is het grappige van al die onwetendheid hier.
Dit project van Google gaat helemaal niet enkel achter Microsoft aan, maar achter vele bedrijven; ook bedrijven die totaal geen concurrentie bieden aan Google.
Daarnaast is Google totaal niet de enige die Microsoft wijst op de grote problemen met Windows patches, en ook lang niet de enige die gewoon na die 90 dagen released als Microsoft weer eens te laks bezig is.

Alleen is Microsoft de enige die aan het huilen is. En Microsoft is een groot bedrijf. Dus komt dat in de media.
En dan opeens komen mensen als jij met onzin statements als "Dus Google is opeens de hoeder van Microsoft producten?"

Stoot niet zulke onzin uit. Dit project van Google gaat achter *heel veel* bedrijven en projecten aan om de veiligheid te vergroten. Dat toevallig enkel Microsoft een rel wil starten, en het petrischaaltje aan Google haat hier weer onder de warmtelampen is gezet, krijg je dit soort onzin...
[...]

En de fabrikanten, die er veel meer aan verdienen, hebben geen verantwoordelijkheden? ;)
Ik zeg niet dat de fabrikanten geen verantwoordelijkheden hebben. Echter, het is en blijft het OS van Google. Daar ligt toch echt een primaire verantwoordelijkheid. Het is te makkelijk om de fabrikanten de 'schuld' te geven. Google heeft het ecosysteem zelf gebouwd en je maakt mij niet wijs dat ze niet over de mogelijkheden beschikken om hun software te patchen. De vraag is willen ze het? Er is genoeg informatie te vinden over lekken in Android en ook over de nogal laconieke houding van Google in deze. http://www.smh.com.au/dig...oogle-20140702-zsthl.html of https://nakedsecurity.sop...anti-virus-is-he-serious/

Overigens is het niet zo dat al die fabrikanten zoveel verdienen zoals jij stelt. Samsung is zo'n beetje de enige en dat valt de laatste tijd ook tegen. Sony overweegt zelfs te stoppen.

Dan stel je dat Microsoft hier 'aan het huilen is'... Het is hier Google die de publiciteit zoekt. Voor de derde keer in korte tijd overigens. En het zou mij niet verbazen als we de komende tijd meer van dit soort berichten gaan zien.

Je verwijt Microsoft 'weer eens laksheid' terwijl je het patchen van Android 'nogal een taak' noemt. Dat is meten met twee maten. Windows is net zo complex als Android, staat op nog veel meer computers van nog veel verder uiteenlopende makelij en er zijn nog veel meer bedrijfsprocessen van afhankelijk ...

Verder verwijt je de mensen hier 'onwetendheid'. Die onwetendheid lijkt me juist op deze site mee te vallen. Juist op deze site zijn mensen te vinden die verder kijken dan hun neus lang is en met een bovengemiddelde belangstelling voor deze industrie.

Tot slot verwijt je mij dat ik 'onzin uitkraam'. Ik stel alleen maar vraagtekens bij het nieuws dat Google hier naar buiten brengt. Dat zou jij ook moeten doen. Maar in dit thread alleen al schrijf jij meer dan 35 reacties. Allemaal pro-Google...
Google heeft het ecosysteem zelf gebouwd en je maakt mij niet wijs dat ze niet over de mogelijkheden beschikken om hun software te patchen. De vraag is willen ze het?
Klopt, ze mogen niet zomaar OS specific updates uitrollen.
Willen ze dat? Ja!
Als dat je vraag is: dan is het antwoord ja.

Met Android 5.0 wordt dat namelijk *wel* mogelijk, en moeten fabrikanten daar mee akkoord gaan.
Google is het lakse beleid van fabrikanten ook zat. En terecht.
Overigens is het niet zo dat al die fabrikanten zoveel verdienen zoals jij stelt. Samsung is zo'n beetje de enige en dat valt de laatste tijd ook tegen. Sony overweegt zelfs te stoppen.
Niet allemaal, maar de meeste grote namen lopen toch echt in de groene cijfertjes. :)
Dan stel je dat Microsoft hier 'aan het huilen is'... Het is hier Google die de publiciteit zoekt. Voor de derde keer in korte tijd overigens. En het zou mij niet verbazen als we de komende tijd meer van dit soort berichten gaan zien.
Huh? Google zoekt de publiciteit...?
Volgens mij heb je het niet helemaal begrepen. Microsoft zoekt de publiciteit.
Dat Google een lek publiceert is helemaal geen nieuws... Er worden dagelijks lekken gepubliceerd, ook over Microsoft.
Echter, omdat Microsoft opeens boos wordt: *daarom* is het nieuws.

De enige reden dat dit in de media komt, is omdat er een "fittie" is ontstaan tussen Microsoft en Google, omdat Microsoft een voorkeursbehandeling wenst te krijgen.
En nee, mij zal het ook niet verbazen. Windows is zo lek als een mandje, en Microsoft heeft duidelijk absoluut geen prioriteit met patches uit te rollen.
En Google, en andere beveiligingsonderzoekers ook trouwens, gaat/gaan gewoon door met het publiceren als de deadline niet gehaald is.

Heel simpel.
Je verwijt Microsoft 'weer eens laksheid' terwijl je het patchen van Android 'nogal een taak' noemt. Dat is meten met twee maten. Windows is net zo complex als Android, staat op nog veel meer computers van nog veel verder uiteenlopende makelij en er zijn nog veel meer bedrijfsprocessen van afhankelijk ...
Neen. Je moet beter lezen.
Ik zeg helemaal niet dat het patchen van Android "nogal een taak" is. Sterker nog: het is allang gepatched!
Ik noem het onderhouden van alle schillen van de Android fabrikanten door Google, hetgeen jij eist, nogal een taak... Microsoft onderhoud ook echt niet de software van derde partijen hoor! Als er een grote update uitgerold wordt, vroeger zag je dat nogal eens met service packs, moest men maar zorgen dat de software compatible werd als er iets gebroken raakte...

Microsoft heeft maar 1 OS met 1 schil: Windows. En de updates leveren zij *zelf*. Daar komt *niemand* tussen.
Dat is het verschil.
Verder verwijt je de mensen hier 'onwetendheid'. Die onwetendheid lijkt me juist op deze site mee te vallen. Juist op deze site zijn mensen te vinden die verder kijken dan hun neus lang is en met een bovengemiddelde belangstelling voor deze industrie.
Niet echt, gezien je vele mensen hier hoort zeggen dat beveiligings researchers het uitschot van de samenleving zijn.
Dat ze dankzij die onderzoekers een heeeeel stuk veiliger kunnen werken, en er de afgelopen jaren enorme focus is gelegd op beveiliging: dat vergeet iedereen maar even voor het gemak.

Belangstelling voor de industrie? Als er wat af te zeiken valt ja. Verder niet.
Tot slot verwijt je mij dat ik 'onzin uitkraam'. Ik stel alleen maar vraagtekens bij het nieuws dat Google hier naar buiten brengt. Dat zou jij ook moeten doen.
Nee, dat zou ik niet moeten doen.
Ik krijg dagelijks te maken met disclosure van lekken, responsible disclosure, zero day attacks: et cetera.
Wat Google hier doet is doodnormaal, dus waarom zou ik daar in vredesnaam opeens vraagtekens bij gaan zetten puur omdat het om Microsoft gaat? Niets ervan.

Als Microsoft dit bij Google zou doen, zou je van mij dezelfde reacties te horen krijgen; maar dan in het voordeel van Microsoft.
Maar in dit thread alleen al schrijf jij meer dan 35 reacties. Allemaal pro-Google...
En?
Ik ben het eens met Google's werkwijze. Wat moet ik dan? 15 anti-Google reacties schrijven en 15 pro-Google reacties? :')
Take a hike.

[Reactie gewijzigd door WhatsappHack op 18 januari 2015 04:23]

Ben jij ingehuurd door Google of zo? Het zou in ieder geval je felheid verklaren en waarom je iedereen hier die vraagtekens zet bij dit akkefietje wegzet als onwetend, onzin of take a hike. Met die voorliefde voor Android kan ik me nauwelijks voorstellen dat je een veiligheidsonderzoeker bent...

Nog even een paar feiten: Samsung 45% minder winst, Sony positief door de PS4 telefoondivisie in het rood, HTC nog steeds in het rood. Met de komst van de iPhone 6 en een groeiend aantal low cost OEM's wordt het er allemaal niet beter van. Google zou zich overigens zorgen moeten maken want hun OEM's verdienen er niets meer aan.
"We used to look at the smartphone market from an Apple vs. Samsung framework, but it turns out that it was really Apple vs. Android," said Lee Seung-woo, an analyst with IBK securities. "Samsung used to take all the profits from Android because its rivals were doing such a poor job. Now there's very little difference between Samsung and its Android rivals." http://www.phonearena.com...due-out-October-7_id61296

[Reactie gewijzigd door verbaanr op 18 januari 2015 09:03]

Ben jij ingehuurd door Google of zo?
Ben jij ingehuurd door Microsoft ofzo? Haha. Hou toch op. :)
Weer een bedrijf om aan m'n lijstje toe te voegen. Intussen werk ik volgens een aantal Tweakers voor:
- Google
- KPN
- Hi
- WhatsApp
- Facebook
- Samsung
(Vooral die laatste is grappig, omdat ik een graf hekel heb aan Samsung... Toch verdedig ik elk bedrijf wanneer een bedrijf dat verdient omdat er onzin verkondigd wordt; net als nu over Google. Als Microsoft dit bij Google had gedaan, dan had ik Microsoft verdedigd. Pretty darn simple.)

Met die zes banen moet ik ondertussen toch wel flink verdient hebben!
Ik word rijk gepraat door sommige Tweakers... Prima.
Maar: Neen.
Het zou in ieder geval je felheid verklaren en waarom je iedereen hier die vraagtekens zet bij dit akkefietje wegzet als onwetend, onzin of take a hike.
Nee hoor, het is gewoon de irritatie aan de hypocrisie die hier heerst.
Aan de ene kant hoor je onder artikelen "ohhh wat lievvvv van die onderzoekers dat ze ons helpen veilig te houden! Super acties!"
Dan gaat het opeens om Google die *exact* hetzelfde doet en is het "Stomme Google! Wie denken jullie wel niet dat je zijn, stel gore criminelen!"
Dat is meten met twee maten en gewoon puur botvieren van een anti-Google sentiment. Je mag een hekel hebben aan Google, maar ze doen overduidelijk ook hele goede dingen; en dit is er een van. Of je het met de standaard werkwijze van de industrie eens bent of niet: dat is een ander verhaal, maar dan moet je *iedereen* afkraken, consistent, en niet enkel als het om Google gaat.
Met die voorliefde voor Android kan ik me nauwelijks voorstellen dat je een veiligheidsonderzoeker bent...
Android is een zeer veilig OS, als je maar om kan gaan met de vrijheid die je geboden wordt.
Wat, dacht je dat iOS en dergelijken veilig zijn ofzo? :')

Het enige wat nog erger is dan 0days, zijn mensen die zichzelf veilig achten op een OS omdat het zo gemarket is.
Geen enkel OS is 100% veilig, er bestaat geen "veilig" OS; behalve een OS dat je zelf hebt gemaakt... En dan nog niet waarschijnlijk. :')
Nog even een paar feiten: Samsung 45% minder winst, Sony positief door de PS4 telefoondivisie in het rood, HTC nog steeds in het rood.
HTC heeft in de cijfers op jaarbasis nog nooit in het rood gestaan.
HTC heeft ooit 1 kwartaal in het rood gestaan, en heeft dat direct weer gecompenseerd; onder de streep stond alles netjes in de groene cijfertjes.
Vorig jaar heeft HTC niets anders gedaan dan winst draaien.

Dus hoe kom je bij rode cijfertjes?
Rode cijfertjes op wikipedia zeker? Dat gaat over hun totale waarde en omzet, die is gedaald. Dat betekent niet dat ze verlies draaien.
Met de komst van de iPhone 6 en een groeiend aantal low cost OEM's wordt het er allemaal niet beter van. Google zou zich overigens zorgen moeten maken want hun OEM's verdienen er niets meer aan.
Niet boeiend artikel, niet relevant. Apple fanboy aan 't woord. Prima, lekker laten praten.
Bovendien is het niet Google's probleem ALS fabrikanten geen winst draaien.

[Reactie gewijzigd door WhatsappHack op 19 januari 2015 00:45]

Wij worden het niet eens. Ik blijf er bij dat je een zeer positief (bijna na´ef) beeld hebt van Google en een negatief beeld van de rest (Microsoft in dit geval).

Mijn punt is dat deze firma's zeer grote machtsblokken geworden zijn en dat je daar ALTIJD kritisch tegenover moet staan. Je moet hun belangen altijd in ogenschouw houden. Google is met circa 80% markt aandeel met Android en circa 90% in het zoeken een zeer sterke machtsfactor. Dat zelfde geldt voor Microsoft met vergelijkbare cijfers voor wat betreft Windows op de desktop en Office. Deze twee partijen zijn met nagenoeg alle diensten elkaars directe concurrenten en ze deinzen niet terug voor 'dirty tricks'. Voorbeeld: Google's houding ten aanzien van YouTube op Windows Phone, Google Maps op Windows Phone, het niet meer ondersteunen van ActiveSync op Gmail, etc. Microsoft voert (voerde) op haar beurt actief een Scroogled campagne en was in de jaren 90 geen haar beter. Hoewel ik moet aantekenen dat het nieuwe leiderschap binnen Microsoft verfrissend lijkt. Desondanks moeten we deze bedrijven met argusogen blijven volgen. Dat doe ik ook in deze kwestie. Deze kwestie alleen maar als een veiligheidsonderzoekjes afdoen is na´ef.

HTC
'13Q3 -/- 3,5 mld T$
'13Q4 -/- 1,6 mld T$
'14Q1 -/- 2,0 mld T$
In het laatst gerapporteerde kwartaal is de marge slechts 0,4%. De zelfstandige toekomst van HTC is op zijn minst onzeker. Als je stelt dat dat Google's probleem niet is, dan ga je voorbij aan de wederzijdse afhankelijkheid (gek trouwens dat je die afhankelijkheid wel ziet op technisch vlak als het gaat om het updaten van Android). Als Google's OEM's geen geld verdienen heeft Google wel degelijk een probleem.
Eigenlijk wel.
Want elk fabrikant moet Android aanpassen op het systeem of het werkt voor geen ene meter.
En dat zorgt voor de vertraging.
Als je een kwetsbaarheid openbaart voordat het gepatched is, neemt het aantal 0-day exploits toch toe? Project Zero schiet zichzelf in de voet.
Een 0-dag exploit, is een reguliere exploit zodra hij gepubliceerd is. 0-day staat voor dat hij nog niet bekend is, waardoor je hem makkelijk ongemerkt kan gebruiken, of voor hoge prijs kan verkopen als ontdekker.
Nou ok prima, dan heet het geen 0-day meer, maar een exploit die mogelijk eerst onbekend of maar bij enkele personen bekend was, is nu voor de hele wereld bekend en gaat dan vrijwel zeker misbruikt worden. Ik begrijp niet hoe de veiligheid daar mee gebaat is.
Ik begrijp niet hoe de veiligheid daar mee gebaat is.
De eerste persoon die het wel begrijpt mag het uitleggen, want volgens mij is dit nooit ter verbetering van de veiligheid.
Inderdaad, alleen het aantal 0day exploits neemt wel af omdat Google ze ter beschikking stelt,
It`s all about framing, die divisie haalt dus zijn target, minder 0day exploits, als ze maar genoeg publiceren. :+
uhm, ik snap niet waarom google dit soort dingen uit zou mogen brengen? als ms ermee aan het werk is dan hoeft google toch geen hackers te lokken?
Google lokt geen hackers, Google gaat hackers tegen.
Dat Microsoft het te weinig boeit en geen patches uitgeeft binnen een redelijke tijd is niet de schuld van Google, die houden zich gewoon aan de standaard binnen de industrie: 90 dagen de tijd.
google heeft er toch niks mee te maken?
Nee, geen enkele beveiligingsonderzoeker heeft wat te maken met het bedrijf dat fouten heeft...

... Maar dat betekent niet dat ze dan maar die bedrijven hun gang moeten laten gaan en alle lekken erin moeten laten zitten zonder wat te zeggen. ;)

Is het nou zo moeilijk om te snappen dat Google nu doet wat honderden/duizenden individuelen en (grote) beveiligingsbedrijven dagelijks doen?
microsoft was ermee bezig om te fixen, maar ze doen dit puur om een slecht beeld van microsoft te creŰren, alsof ze zelf geen beveiligingsproblemen hebben met bijv. android. laat ze zich met hun eigen os bemoeien, wat niet weet wat niet deert, en ondertussen wordt het lek gedicht zonder dat iemand het doorhad, totdat het probleem achteraf gepubliceerd wordt
microsoft was ermee bezig om te fixen, maar ze doen dit puur om een slecht beeld van microsoft te creŰren, alsof ze zelf geen beveiligingsproblemen hebben met bijv. android
1.) Nee, ze doen dit omdat de deadline verstreken is. Dat is heel normaal in dit wereldje. Vendor krijgt *ruim* de tijd om het probleem op te lossen.
Lossen ze het probleem niet binnen die tijd op? Tja, eigen schuld.

2.) Wat boeit het als er veiligheidslekken in Android zitten voor dit verhaal?
Even serieus, wat heeft dat in vredesnaam te maken met de lekken in Microsoft software?
Dus omdat, en ik betwist trouwens dat dit waar is: maar ik ga even met je mee, er een lek zit in Android betekent het dat er geen lekken over Microsoft gepubliceerd moeten worden, Microsoft onbeperkt de tijd mag nemen om lekken te dichten, en system administrators wereldwijd absoluut niet op de hoogte mogen worden gesteld van deze problemen...?

Serieus, dat hele "Ja maar Android heeft ook een lek!" als reden om dan maar te zeggen "Dat Android een lek heeft is een vrijbrief voor Microsoft om ook lekken te hebben!" vind ik echt een van de meest kortzichtige opmerkingen die ik hier de laatste tijd voorbij heb zien komen. Met alle respect hoor, je mag natuurlijk vinden wat je wilt en je eigen mening hebben; maar ik vind het echt *nergens* op slaan.
Zie Google eens als een beveiligingsonderzoeker die "piet" heet, en niets met Android te maken heeft... Wat is dan opeens het oordeel? :)

Google is lang niet de enige die fouten in Windows rapporteert. Dus stel dit was gewoon een beveiligingsonderzoeker die niet voor een bedrijf werkt maar dit gewoon voor de lol/freelance doet, en die publiceert dit lek na 90 dagen omdat de tijd op is (zoals altijd in deze industrie); welk argument had je dan gebruikt om te zeggen dat die onderzoeker z'n mond moet houden? Een lek in Android heeft ie niet, en hij maakt zelf geen software; dus... Wat is dan opeens het argument? :')

Seriously, dit is een Google project dat heel veel veiligheid problemen onderzoekt. Heeft niets met Google vs Microsoft te maken, alleen laat Microsoft even wat krokodillentraantjes vloeien en hopppaaaa, allerlei mensen boos op Google. :') Briljante marketing van Microsoft, if you ask me.
laat ze zich met hun eigen os bemoeien
Ja, laat vooral iedereen zich enkel met zichzelf bemoeien.
Met die mentaliteit blijft de gehele IT wereld een enorm onveilig nest. :P
wat niet weet wat niet deert, en ondertussen wordt het lek gedicht zonder dat iemand het doorhad, totdat het probleem achteraf gepubliceerd wordt
Oh ja?
En wie zegt er dan dat er geen blackhat hackers zijn die allang van deze lekken wisten en het ook al actief misbruik(t)en...? ;)

Het moet geloof ik nog doordringen bij vele mensen hier dat je bij een nieuw lek dat voorheen niet bij de vendor bekend was je er **ALTIJD** vanuit moet gaan dat kwaadwillenden ook van het lek op de hoogte zijn.
Maar nee, nu doet iedereen net alsof Google wel de enige op aarde moet zijn die van het lek afweet... :P

... En die mentaliteit is zeer gevaarlijk voor de veiligheid van het hele IT wereldje, en specfiek het internet!
We hebben nog een lange weg te gaan, ben ik bang; maar uiteindelijk komen we er wel, ondanks wat hobbeltjes in de weg. :)

[Reactie gewijzigd door WhatsappHack op 18 januari 2015 04:36]

Ik zie liever dat de grote bedrijven samenwerken om de lekken en fouten in de software te dichten.

Still houden samen oplossen. uiteindelijk zijn wij als gebruiker er niet bij gebaat dat zij elkaar op deze manier in de wielen rijden.

" windows software moet nu eenmaal compatible zijn met 1000en verschillende componenten van allerlij fabrikanten, dat doe je niet even oplossen in een weekje "
Ook die third partie bedrijven hebben te maken met het patchen van lekken.Zonder dat gebruikers van hun software problemen ondervinden door een patch van MS kan er hinder ondervonden worden of oude lekken opnieuw geintroduceerd worden door menselijk falen.
Google, kijk eerst eens naar je eigen OS.
nieuws: Google dicht lekken in stock-browser Android 4.3 en lager niet meer
Voor dat je alle hackers van de wereld informatie geeft om mijn pc te beschadigen.
Wat een onzin. Dit is hetzelfde als zeggen dat Microsoft nog steeds XP moet blijven bijwerken. Er bestaat gewoon iets als Android 4.4 en het is niet de taak van Google om apparaten te updaten.
Microsoft heeft XP bijgewerkt, ruim 14 jaar lang.
Android 4.3 is nauwelijks meer dan anderhalf jaar oud.
En meer dan 60% van de androids heeft 4.3 of ouder.
Volgens mij heet een bijgewerkte versie toch gewoon android 4.4? Als het in 4.4 wel gefixed is dan is het aan de fabrikanten om die update door te voeren.

Ik zou het met je eens zijn geweest als deze bug in de hele 4.x linie te vinden was en ze hem niet meer willen fixen omdat het in 5.x wel in orde is.
Om in de windows analogieŰn te blijven. Het is alsof je windows 8 wel updates geeft en windows 7 niet.
Op bijna elke droid in Europa zitten play services, als je daarmee automatisch een nieuwe boekenstore zonder te vragen kunt installeren, moet dat ook kunnen met een webview.

Maar mijn kritiek zit hem in vooral in de wijze waarop Google nu ook windows gebruikers actief in gevaar brengt met deze informatie. Niet alleen is dat een stukje gevaarzetting, maar ook een naar stukje framing. Een stukje framing door een partij waarvan we maandelijks op tweakers nieuwsberichten lezen over dat ze zelf vrij basale veiligheid niet op orde hebben.
Reden dat Windows 7 nog update je hebt er voor betaald dus krijg je zo'n lange ondersteuning daarbij woorden ze gedwongen omdat te doen Door hun marktaandeel. .
Google doet dat ook en die zegt je beveiliging updaten zit in Android 5 maar als de telefoon fabrikant die toestellen niet update is het google de schuld?
Volgens mij is die webviewer in android gemaakt door Google en niet door de fabrikanten.

Als ze ongevraagd een boeken en film-store kunnen toevoegen via play-services, of een malwarescanner die tijdens de installatie apk's controleert, moet zo'n fundamentele exploit in de webviewer ook op te lossen zijn.
Meschien niet? Daarom is dat probleem met Android 4.4 er niet omdat het wel te fixen valt met play service.
Natuurlijk is dat op te lossen, als Google tenminste een paar competente programmeurs heeft. Ik geef ze 90 dagen, dat moet genoeg zijn. En anders...
Ik vind persoonlijk van wel.
Want elke Android voor elke telefoon is anders omdat het aangepast moet worden aan het systeem en dat kost een hoop tijd en geld.
Windows Phone moet je over bepaalde hardware beschikken anders werkt het niet, het voordeel hiervan is dat je gewoon kan patchen voor 100 verschillende type telefoons tegelijkertijd.
De midrange en budget telefoons krijgen amper versie-updates.

Ik heb er dus weinig aan dat er een 4.4 versie is die een probleem in 4.3 oplost. Er is bij de aanschaf van de telefoon betaald voor android.

Heb ik nu, met mijn keuze voor een midrange telefoon (dus hardwarematig niet de snelste) ook minder lang recht op het (veilig) gebruik van android?

Google schuift de schuld nu mooi naar de fabrikanten van telefoons, en weet donders goed dat niet alles meer naar 4.4 wordt geupdate.

In mijn ogen een laffe actie.
Google schuift de schuld nu mooi naar de fabrikanten van telefoons, en weet donders goed dat niet alles meer naar 4.4 wordt geupdate.
En terecht, want een telefoon die 4.3 draait kan ook 4.4 draaien; zonder problematiek, zonder lag, zonder... et cetera.
Dat fabrikanten weigeren "oude" toestellen te ondersteunen is dus de fout van de fabrikant. Google kan fabrikanten niet forceren om Android 4.4 te installeren, maar Google heeft dus al wel degelijk meer dan een jaar geleden een patch uitgegeven voor de genoemde problemen; en de patch heet: Android 4.4.

Iemand hierboven noemde XP zo:
Wat een onzin. Dit is hetzelfde als zeggen dat Microsoft nog steeds XP moet blijven bijwerken. Er bestaat gewoon iets als Android 4.4 en het is niet de taak van Google om apparaten te updaten.
Dat is de foute insteek.
Maar laat ik het anders verwoorden:
Dat is hetzelfde als zeggen dat Microsoft Windows 7 moeten blijven updaten (terwijl die gewoon geupdate wordt...), terwijl het eigenlijk de systeem beheerder is die de patches niet doorvoert. ;)

En zo moet je het zien.
- Google levert een patch
- Fabrikant installeert deze patch niet
-- Fabrikant is het probleem, niet Google

- Microsoft released een patch voor Windows 7
- Beheerder installeert deze patch niet
-- Beheerder is het probleem, niet Microsoft.

Je kan de maker van de software niet verantwoordelijk stellen voor het wanbeleid van de distributors/beheerders...
Google heeft dus totaal de controle verloren, ik ben beheerder van mijn pc, ik ben beheerder van mijn telefoon.

Google kan 4.3 blijven patchen zonder de bijkomstigheid van een nieuw versienummer, maar doet dit niet.

Naar mijn inzien is google net zo schuldig als een fabrikant.

En naar jouw stelling, zou ik, bijv van acer of HP, ook een update naar windows 7 moeten krijgen omdat xp niet meer ondersteund word?

Ondersteuning eindigd een keer, maar niet na 2 jaar, wanneer jou product (het softwarepakket) nog volop verkocht wordt.
En naar jouw stelling, zou ik, bijv van acer of HP, ook een update naar windows 7 moeten krijgen omdat xp niet meer ondersteund word?
Krijgen? Nee.
Maar het wordt je wel aangeboden om te kopen. ;)
Dat is dus je eigen keuze.
Ondersteuning eindigd een keer, maar niet na 2 jaar, wanneer jou product (het softwarepakket) nog volop verkocht wordt.
En wie bepaalt dat? :')
Bovendien kan Google er weinig aan doen dat fabrikanten niet de nieuwste versie maar een verouderde versie, zonder bepaalde patches, gebruiken.
En wie bepaalt dat? :')
Bovendien kan Google er weinig aan doen dat fabrikanten niet de nieuwste versie maar een verouderde versie, zonder bepaalde patches, gebruiken.
Een versie update is geen patch. Net zoals windows 8 geen patch is t.o.v. windows 7.

En het is nu dus aan de consument om te bepalen dat 2 jaar niet genoeg is.

Maar er zullen altijd mensen blijven die alles accepteren wat google door hun strot duwt
Een versie update is geen patch. Net zoals windows 8 geen patch is t.o.v. windows 7.
Nee, maar bijvoorbeeld Windows XP SP2 was toch wel even heel andere koek dan Windows XP zonder SP.

Een versie update kan dus wel degelijk een patch zijn. Trouwens, dat is in het merendeel van de gevallen zo. :/
Software x 1.0.0 heeft een lek, vervolgens komt 1.0.1 uit. Na een paar iteraties en wijzigingen publiceren ze maar een 1.1 die alles tegelijk patched.

Een versienummer kan dus wijzigen als er enkel beveiligingspatches worden doorgevoerd.
En dat is ook handig, want dan kan je precies zien welke versies vulnerable zijn, en welke niet.

Het gaat niet anders in de opensource wereld, alles heeft een versienummer, zo kan je zien "Blabla is kwetsbaar! Alle versies vanaf Blabla 2.1.3 en ouder zijn kwetsbaar voor het lek! Installeer minimaal Blabla 2.1.4 of 3.0.0 om veilig te zijn."
En het is nu dus aan de consument om te bepalen dat 2 jaar niet genoeg is.
Kennelijk boeit het de meeste mensen niet zo.
Veel mensen willen tegenwoordig toch om de 1 a 2 jaar de nieuwste van de nieuwste smartphone; en anders hebben ze vaak een primitief toestel. Enkele uitzonderingen daar gelaten.
Maar er zullen altijd mensen blijven die alles accepteren wat google door hun strot duwt
Sure. Maar in dit geval gaat het om wat Google *niet* door je strot duwt, en de fabrikant weigert te updaten; want dan moet je maar een nieuwe telefoon kopen. ;)

Google heeft het al gepatched hoor, allang!
Dus Google duwt juist euhh... helemaal niets door je strot. Het is aan de fabrikanten nu. :)
Doen ze expres zodat iedereen een 600,- of meer telefoon moet kopen om veilig te blijven.
Als alle android telefoons de update naar 4.4 kunnen krijgen qua hardware ondersteuning heb je gelijk, maar volgens mij is dat nu net het grote probleem.
Android 4.4 is gemaakt om op zwakkere hardware te draaien.
Over kulargumenten gesproken.

XP is na release ruim twaalf jaar ondersteund, 4.3 maar 2,5 jaar.
Dat XP inmiddels onveilig in gebruik is, is dus van een heel andere orde.
MS bleef gewoon updaten, ook toen 8 al uit was, en Google zou dat ook moeten.

Als Google na 12 jaar stopt met ondersteunen hoor je vast niemand, nu laten ze na 2,5 jaar 930 miljoen gebruikers in de stront zakken die een recent prima werkend apparaat hebben dat niet naar een nieuwe versie geupgrade kan worden.
Die verwachten gewoon beveiligingsupdates en zitten niet op winstmaximalisatie voor Google te wachten.

[Reactie gewijzigd door Teijgetje op 16 januari 2015 23:53]

Als Google na 12 jaar stopt met ondersteunen hoor je vast niemand, nu laten ze na 2,5 jaar 930 miljoen gebruikers in de stront zakken die een recent prima werkend apparaat hebben dat niet naar een nieuwe versie geupgrade kan worden.
Die verwachten gewoon beveiligingsupdates en zitten niet op winstmaximalisatie voor Google te wachten.
Dit is onzin, Google is niet verantwoordelijk of andere fabrikanten hun apparaten updaten, dat doet Google alleen voor de Nexus lijn. Ook is dmv google play services en steeds meer andere services die los zijn gaan staan het OS het veel beter mogelijk om alle apparaten up to date te houden op het OS na. Op die manier is een 4.3 toestel niet onveiliger dan een 5.0 toestel. En vergeet niet dat een hoop apps gewoon werken op oudere android versies, dat is iets waar google wel verantwoordelijk voor is.
Gelijk hebben en gelijk krijgen zijn twee verschillende dingen. ;)

Wat blijft hangen bij die 930 miljoen gebruikers is dat ze Android hebben en dat dat onveilig is na twee jaar omdat de ondersteuning wegvalt.
Niet dat dat de schuld is van de fabrikant van de telefoon, de telefoon is goed en voldoet, maar Android is van Google.
Dus 930 miljoen gebruikers worden gedwongen een workaround te vinden (kan dat met core-problemen?) of een nieuwe telefoon te kopen, als ze het al weten...
Als je klanten te veel hebt dan kan je die gok best nemen als Google zijnde. ;)
Kassa, want ze zullen vast allemaal voortaan een Nexus kopen........of??

Is dat goede publiciteit voor Android?
Koop jij de volgende keer weer een duur Androidtoestel?

Of stap je over naar een ander OS dat wel blijft ondersteunen?
Een OS dat ondanks dat het geen nieuwe features meer krijgt, wel met beveiligingsupdates veilig gehouden wordt?
(Ik heb Android gedist nadat LG beloofde upgrades nooit doorvoerde en ik met 2.3 bleef zitten op een toenmalig high-end toestel terwijl 4.0 al uit was bij aanschaf van het toestel en ook beloofd werd, sinds WP loop ik vˇˇr op het RTM-OS.
Toch verwacht ik eigenlijk dat 2.3 nog steeds veilig is, het 3Dtoestel mankeert niets, is onbeschadigd, maar mist veel hardware dat nieuwe features mogelijk maakt, maar is, als je die niet nodig hebt, een "prima" toestel van 4 jaar oud dat blijkbaar alleen geschikt is als collectors-item of voor de prullenbak als je veiligheid iets serieus neemt)

[Reactie gewijzigd door Teijgetje op 18 januari 2015 16:23]

Die 90 dagen als harde eis vind ik eigenlijk belachelijk. Na het oplossen van het probleem zoals MS het vraagt is ook geen oplossing. Maar soms is 90 dagen technisch niet haalbaar. Mooier zou zijn om dan 1 of 2 keer uitstel te geven (misschien afhankelijk hoe ze in het verleden kwetsbaarheden behandeld hebben) en dan pas uit brengen.

En ik vraag me af of ze ook altijd kwetsbaarheden in hun eigen software na 90 dagen naar buiten brengen als ze het technisch niet op deze termijn opgelost krijgen.
Maar soms is 90 dagen technisch niet haalbaar.
In welke situatie is een kwart jaar niet genoeg, precies? Geen enkele.
In die situatie waar een kwart jaar sowieso al geen kwartjaar is vanwege december, en waar een issue niet zo simpel op te lossen is als in het gemiddelde software project? Denk je echt dat Microsoft dit voor de lol doet?
In die situatie waar een kwart jaar sowieso al geen kwartjaar is vanwege december
December is geen onderdeel meer van het jaar?
Denk je echt dat Microsoft dit voor de lol doet?
Blijkbaar nemen ze het niet serieus.
Blijkbaar kan je niet lezen ;)

Microsoft kent het probleem en wilde volgens Ars Technica een oplossing deze week uitbrengen, maar trok die halsoverkop terug toen bleek dat er compatibiliteitsproblemen zijn. De fix staat nu gepland voor volgende maand.

Blijkbaar heb jij liever een fix die je computer laat crashen.......... ;)
Blijkbaar kan je niet lezen ;)
Ik kan prima lezen. Ze hebben drie maanden gehad en 't niet serieus genoeg genomen om 't in die tijd (die *heel* ruim is) voor elkaar te krijgen. Dat ze aan het *einde* van die periode een fix hebben die niet goed werkt is kut voor ze, maar dan hadden ze er op tijd mee moeten beginnen.

Ik snap niet waarom dit zo moeilijk is. 90 dagen is enorm veel tijd.
Wat een principieel standpunt hanteer je. Je bent een security-purist.

Ik vind dat je beter wat praktischer met security omgaan.
Door deze actie van Google is het Internet defacto onveiliger geworden.
En op termijn veiliger want bedrijven zullen die 90 dagen termijn wat serieuzer nemen. Je zou moeten mogen verwachten dat een fix binnen een week basaal geschreven is, dan voor een dergelijk groot project misschien 3 weken door verschillende test groepen heen gaat voordat hij gereleased word. Nu hebben ze 3x zoveel tijd... het feit dat ze een fix terug moesten trekken na 11 a 12 weken is een teken van totale incompetentie.
Een arbitraire, door een concurrent ingestelde termijn serieus nemen. Nooit van mijn leven. Iemand anders gaat niet even voor mij bepalen hoe en hoe lang de procedures in elkaar zitten.

Er is, o.a. bij Microsoft, zoiets als Quality Assurance Testing, waar Google, en menig ander bedrijf, blijkbaar totaal geen benul van heeft.
Je bent een security-purist.
Is dat zo'n raar standpunt ten opzichte van een pakket dat op honderden miljoenen (miljarden??) computers is ge´nstalleerd en waar er best een stel tussen zitten die cruciale taken verrichten?
Je kan dus niet lezen, er is een fix maar die levert compatibilityproblemen op.
Die hadden ze dus uit moeten brengen volgens jou. 8)7

Er is dus wederom een fix die (bijna) klaar is, dat is hen bekend, doel bereikt, maar nee, inspraak is niet mogelijk.
Dat zijn haast fundamentalistische trekjes die Google nu vertoont met 90 dagen is 90 dagen, en geen inspraak maar alleen volgens hun eigen "leer".

Misschien moet je bij Microsoft solliciteren dan, als je zeker overal op tijd een oplossing voor kan schrijven, of zelfs half Windows herschrijven als dat moet binnen 90 dagen, Ún dit doortesten op alle soorten devices en dat weer debuggen.

Of bij Google natuurlijk.....die zitten te wachten op mensen die zero-day leaks kunnen vinden om zo anderen in een kwaad daglicht te kunnen zetten, zodat het niet zo opvalt dat ze 60% van hun eigen gebruikers in de stront laten zakken.
Dat zijn haast fundamentalistische trekjes die Google nu vertoont met 90 dagen is 90 dagen, en geen inspraak maar alleen volgens hun eigen "leer"
Nee, dat is gewoon een standaard tijd die de meeste (beveiligings)bedrijven/hackers aanhouden bij Responsible Disclosure...

Niets fundamentalistisch. Pure logica en heel erg goed!
Microsoft krijgt *zeer ruim* de tijd om het te fixen. Doen ze dat niet, moeten ze niet gaan zeiken; maar is 't hun eigen schuld.
Ik heb dan liever dat ik te horen krijg dat er een niet gedicht lek in zit, waardoor ik zelf mogelijk actie kan ondernemen, dan dat het maar geheim blijft en ondertussen black hat hackers er ook misbruik van kunnen maken; want die weten het *wel*; maar de standaard beheerder weet het *niet*.

En daarom is responsible disclosure zo enorm belangrijk, en heeft Microsoft zich, net als iedereen, gewoon te houden aan de deadline. Google voert gewoon policy uit zoals die behoorlijk algemeen is vastgelegd in dit wereldje, niets meer: niets minder.

De blinde Google haat hier rijst echt de pan uit af en toe...
Jij vind het dus allemaal rechtvaardig, en dicht dat lek nu zelf wel even omdat je het weet..........
De miljoenen anderen die dat niet kunnen en gehackt worden moeten Google dus maar dankbaar zijn?

En het heeft niets met haat te maken, wel met samen, overleg, de boel veiliger m,aken zoals Google zegt te willen.
Dat overleg is er dus niet zodra je wel een oplossing hebt maar niet naar Googles pijpen kan dansen.
Dat is een beetje totalitaire opstelling........
Jij vind het dus allemaal rechtvaardig, en dicht dat lek nu zelf wel even omdat je het weet..........
Ja.
Indien mogelijk.
Het is hetzelfde als destijds met het I Love You virus, om maar even een voorbeeld te geven.

Microsoft werkte aan een oplossing.
Toen men niet wist dat ze de e-mail niet konden openen, hadden ze een probleem.
Toen mensen op de hoogte werden gesteld absoluut NIET het "I love You" emailtje te openen, zijn heel veel mensen bespaard gebleven van extreem grote problemen. (Voor die tijd dan... :P)

Als ze het nog steeds geheim hadden gehouden, waren die mensen dan opeens beter af...? Nee he? ;)

Nogmaals: security by obscurity is GEEN security!
De miljoenen anderen die dat niet kunnen en gehackt worden moeten Google dus maar dankbaar zijn?
Nee, die moeten gewoon Microsoft er op aanspreken dat ze hun zaakjes eens op orde moeten hebben. Want na 90 dagen de tijd om een patch door te voeren mag je wel eens wat released hebben.
En het heeft niets met haat te maken, wel met samen, overleg, de boel veiliger m,aken zoals Google zegt te willen.
Doen ze toch ook?
Lek wordt bekendgemaakt. Microsoft heeft 90 dagen de tijd.
Microsoft weet ook dat na 90 dagen, of het nou gedicht is of niet, het wereldkundig gemaakt wordt. Nu de taak aan Microsoft om binnen 90 dagen te fixen.
Doen ze niet: okee, hun keus. Maar Google publiceert.

Dat is een industrie standaard, zowaar. Is helemaal niets nieuws...
Maar nu omdat Google het doet, is het opeens slecht? ;)
Hou toch op.
Dat overleg is er dus niet zodra je wel een oplossing hebt maar niet naar Googles pijpen kan dansen.
Nogmaals: die 90 dagen is een normaal tijdframe.
Dit hanteert vrijwel elk security bedrijf. Google's main focus is geen security, maar ze voeren hier gewoon een normale policy uit die in de loop der jaren eigenlijk standaard is geworden. Punt.

Google is niet de eerste met die 90 dagen hoor. ;)
En dat weet Microsoft ook dondersgoed.
Nee, dat is gewoon een standaard tijd die de meeste (beveiligings)bedrijven/hackers aanhouden bij Responsible Disclosure...
Volgens mij moet jij, net als @CyBeR, nog even goed de eerste alinea van
Responsible Disclosure doorlezen. Responsible Disclosure betekent dat alle partijen met de gestelde termijn hebben ingestemd. In deze heeft Microsoft geen instemming gegeven en is er dus eerder sprake van Irresponsible Discloscure door Google. Heeft niets met Google haat te maken, maar meer met common sense, wat bij veel Google aanhangers lijkt te ontbreken.
Nee, de black-hats bedanken juist Google voor de medewerking.

Je opmerking raakt kant noch wal, en is op geen enkel feit gebaseerd.
Nee, de black-hats bedanken juist Google voor de medewerking.

Je opmerking raakt kant noch wal, en is op geen enkel feit gebaseerd.
De blackhats bedanken Google dat ze Microsoft gewaarschuwd hebben en dat het lek wat ze al tijdenlang ongestoord konden exploiten nu gedicht wordt...?

Lijkt me sterk. :')
Over kant noch wal gesproken...

Enfin, waar zijn al die bedankjes aan Google?
Graag bronnen en linkjes; want kennelijk is jou post op feiten gebaseerd; beweer je zelf.
Ik zie dus graag de onderbouwing voor je "feiten".

Thanks in advance!
En hoe geloof waardig is dat wat Microsoft zegt?
Microsoft is niet op de kop gevallen om te zeggen, van we waren niet mee bezig....

je laatst punt
Hun systeem is dicht kijk maar naar Android 5 maar dat smartphone fabrikant daarnaar niet update is niet Google de schuld.
Daarbij Google verplaatsen nu veel dingen naar play service zodat ze nu wel kunnen patchen.
en wat hoor je nu het is niet goed want alles woord verplaatst naar play service.
Je hebt gelijk,MS liegt en Google is een held. 8)7
En hoeveel telefoons hebben of krijgen Lollipop ook alweer?
Heb jij Lollipop al?
Ben jij 1 van die minder dan 0,1% Androidgebruikers die veilig is, ? 8)7

Quote;
Google has released its latest Android usage stats, and Lollipop doesn't even register yet

Zoals je ziet is nog niet eens de helft over op KitKat maar gebruikt 60% 4.3 of lager.
Lollipop komt nog niet voor in het wild in hun statistieken, minder dan 0,1% dus.
Veiligheid voor alles dus bij Google. ;)

[Reactie gewijzigd door Teijgetje op 17 januari 2015 01:22]

Daarom is dat probleem verleden tijd met Android 4.4
en weetje waarom die
problemen ontstonden?

Lees voer
Dat onderdeel verving Google in recentere versies door een variant op basis van de Chromium-browserengine. Google zou tegen Rapid7 hebben gezegd dat browsers die niet over die engine beschikken, te oud zijn om nog langer te ondersteunen. Het gaat daarbij om software op apparaten van derde partijen.
ehhhh je bent android 4.4 voor het gemak vergeten. .........

[Reactie gewijzigd door raro007 op 17 januari 2015 01:22]

Ik snap dat je Google verdedigd, maar ;

Quote;
The flaw, which exists in WebView (a core component used to render web pages on an Android device) impacts nearly 1 billion users.

Dat is dus een core probleempje, in Android.
En wat zijn apparaten van derde partijen?
Jouwe? (google 1, telefoonfabrikant 2 ?) ;)
Nou ik zou zeggen stel je voor aan MS en dat jij het vooraan wel even fix, want dat is namelijk toch een makkie.
Ze hebben een patch ontwikkeld, alleen blijkt die problemen te geven, waardoor die is teruggetrokken. Dat lijkt me niet direct te wijzen op het niet serieus nemen, en het lijkt me dat bij elke 'responsible disclosure' hoort dat nou typisch omstandigheden zijn waar je wel in overleg kunt treden.

Die 90-dagenlimiet is prima als het gaat om straal negeren van meldingen, of het gewoon niet uitvoeren van triviale fixes, maar daar lijkt hier geen sprake van.

Ik vind het dan ook een buitengewoon onsympathieke opstelling van Google, die gericht lijkt op het schaden van microsoft (en daarbij ook de bedrijven en consumenten die windows gebruiken.)
11 weken de tijd en ze vinden in de 12de week een fout in hun fix? Met alle respect, dat klinkt niet als 'serieus nemen' to me als programmeur. En zeker niet als dit nu al de tweede/derde keer is dat dit gebeurd.
Jij vind nooit op het laatste moment fouten in code als je die aan het testen bent? De weken voor de deadline verlopen al jouw testen foutloos en maak je sowieso geen fouten meer?
Security fixes zijn niet gigantisch grote updates met tal van nieuwe features... Als je security serieus neemt dan rooster je het binnen twee weken in en daarna afhankelijk van het risico niveau laat je het of via een versneld traject testen of via de standaard test route voor fixes. Al met al zou dat max een week mogen kosten rekening houdend met normale fouten. Het feit dat er nog grote fouten naar voren komen in de twaalfde week bekend dat Microsoft dit waarschijnlijk pas in rondom de 7de week heeft ingeroosterd. Niet dat dat verrassend is voor en dergelijk groot bureaucratisch bedrijf, maar dat maakt het niet plots acceptabel. Ter vergelijking, toen ik ÚÚn keer een klein security probleem in een (open source) pakket van google reporte was het in de code binnen drie dagen opgelost en was het in de stable binnen twee weken opgenomen. Niet dat ik verwacht dat het altijd zo snel kan, maar het geeft wel wat perspectief.
Kader staanders weten het altijd beter. En kunnen allemaal snel en goede oplossing aanvoeren, zelden wordt de oplossing ook daadwerkelijk in gebruik genomen.
Misschien heeft dat een reden.
Leuk en wel heb ik dus wel degelijk voor zowel grote en kleine bedrijven gewerkt (van Fortune 500 tot lokale clubjes). Hoe je als bedrijf met dit soort zaken om gaat is een keuze van hoe je je mankracht indeeld en hoeveel bureaucratie je in het proces laat vertragen. Bij sommige bedrijven heb je maar standaard 3 a 4 lagen (bijvoorbeeld Google) en bij andere is het allemaal zo complex dat ik niet eens een idee heb hoeveel het er waren. Dat zijn keuzes die je maakt en heeft weinig te maken met "oh ze zijn groot, dus dan gaat alles traag".
Ja en wat is er nu aan toegevoegd ?
Security fixes zijn niet gigantisch grote updates met tal van nieuwe features...
En dat zal jij weten, zeker? Je doet wel lekker interessant, maar je hebt 0 komma nul verstand van hoe het er binnen een groot bedrijf als Microsoft aan toe gaat.

Een bug moet eerst worden gereproduceerd voordat 'ie kan worden gefixt, en dat kan al langer dan twee weken duren. Vervolgens moet het probleem nog worden opgelost, en vervolgens bepaald welke onderdelen door de change geraakt worden. Pas daarna kun je de change ook daadwerkelijk gaan doorvoeren, en dan komt er nog een testperiode om te kijken of alles nog werkt op verschillende installaties, om te voorkomen dat systemen na een fix mogelijk niet meer willen opstarten, wat toch iets erger is dan een simpel beveiligingslek.
Dat zeg je tegen iemand die dus wel degelijk voor grote bedrijven heeft gewerkt en ook meerdere mensen bij Google kent (professioneel, niet persoonlijk)... Handig bezig dus... Ik heb wel degelijk een beeld hoe dit soort processen lopen en het is echt niet dat ze het niet technisch kunnen oplossen in een paar dagen. De uiteindelijke manuren in ontwikkeling tijd zullen echt niet zo veel zijn. De rest is allemaal overhead, dingen die 2 werken stil liggen omdat er word gewacht op een reactie van iemand die op vakantie is, dat soort dingen.
'Tuurlijk. En ik ben de president van Amerika.
Hangt af van de complexiteit van de code, maar ja, dat lijkt me heel goed kunnen. Kijk, triviale buffer-overruns die te vangen zijn met een extra check op de boundaries, die zijn natuurlijk wel redelijk snel door te voeren.

Maar als het gaat om iets gecompliceerders dan kan het er makkelijk toe leiden dat je een hele module opnieuw moet designen en bouwen. Dat kost even.
Vervolgens ga je de patch testen op de zeer diverse configuraties die er van Windows zijn, en dan kan daar alsnog een probleem mee blijken.

Ik zie daar niets onwaarschijnlijks aan.
Ja, december is dat natuurlijk wel, maar november en december hebben meer vakantiedagen bv in de VS dan de meeste andere maanden...

En tuurlijk nemen ze het wel serieus, denk eerder dat jij niet serieus bent door te kunnen bedenken wat er allemaal bij komt kijken..
Ja, december is dat natuurlijk wel, maar november en december hebben meer vakantiedagen bv in de VS dan de meeste andere maanden...
Dat is niet waar. November heeft Thanksgiving en Veteran's day, en december heeft Christmas day. Dat zijn de enige national holidays in de VS in die maanden.
Ja, dat misschien wel, maar net zoals in nederland hebben de meeste bedrijven rondom die dagen ook nog extra (week) vakantie.. Genoeg bedrijven hier in nederland die gewoon 2 weken dicht zijn tussen kerst en oud/nieuw...
December is geen volledige maand nee, de mensen bij Microsoft willen ook graag even bij hun familie zijn tijdens de feestdagen.
Blijkbaar nemen ze het niet serieus.
Ze zouden het niet serieus nemen als ze er niks aan deden. Maar dat doen ze wel. Jij hebt volgens mij echt geen besef van hoe complex dit soort problemen kunnen zijn. Daarbij, het probleem was al opgelost, maar de fix kon niet worden uitgestuurd vanwege compatibliteitsproblemen. Moet Microsoft dat dan maar volledig over boord gooien. Want wat maakt het uit dat sommige computers niet meer werken? Wat maakt het uit dat een paar duizenden computers een BSoD krijgen of in een boot-loop terecht komen? Toch?
December is geen volledige maand nee
December kent, in Nederland, exact twee vrije dagen. En dat is in Nederland, in de VS is tweede kerstdag helemaal geen ding maar gewoon een werkdag.
Ze zouden het niet serieus nemen als ze er niks aan deden. Maar dat doen ze wel. Jij hebt volgens mij echt geen besef van hoe complex dit soort problemen kunnen zijn.
Jij kunt niet inschatten hoe goed mijn besef van dit soort zaken is.
Daarbij, het probleem was al opgelost, maar de fix kon niet worden uitgestuurd vanwege compatibliteitsproblemen. Moet Microsoft dat dan maar volledig over boord gooien.
Nee, maar ze hebben al tijd genoeg gehad natuurlijk. 90 dagen is binnen de industrie een gangbare hoeveelheid tijd voor dit soort zaken namelijk.
Je weet toch ook wel dat we het hier over ongeveer 65 werkdagen hebben binnen 90 kalenderdagen hoop ik. En opnieuw: hier zijn dat misschien 2 vrije dagen, maar bij Microsoft niet. Tijdens de kerstperiodes hebben ze bijvoorbeeld ook geen nieuwe Windows 10 builds gecompileerd. Het patch-team zal dus ook niet bijster veel aanwezig zijn geweest. En dat is hun recht. Als ze tijd genoeg zouden hebben gehad, dan was die fix er dinsdag geweest, maar blijkbaar is dat dus niet het geval, blijkbaar hadden ze niet genoeg tijd. Ze hadden in begin oktober al aan Google laten weten er mee bezig te zijn, en dat ze er in geslaagd waren het probleem te reproduceren. Waarom zou het nu niet af zijn? Het antwoord lijkt me duidelijk: te wijnig tijd om alles goed te controleren en testen. Opnieuw: ik betwijfel ten zeerste of je echt wel enig besef hebt over hoe complex dit kan zijn, je reacties laten anders vermoeden.

[Reactie gewijzigd door Loller1 op 16 januari 2015 21:59]

De enige die hier ergens geen besef van heeft ben jij. Je snapt duidelijk niet hoe responsible disclosure bij securityproblemen werkt. Google houdt het standaardproces binnen de industrie aan, en dat proces is zo om heel goede redenen. Microsoft kan er niet blij mee zijn dat een kwetsbaarheid naar buiten komt voor ze 't gefixt hebben, maar het probleem is dat gegarandeerd Google niet de enige is die weet hoe die kwetsbaarheid werkt. En dan is 't dus goed als 't bekend is zodat beheerders (zoals ik) zichzelf op een andere manier kunnen beschermen tegen het probleem.
Nu kan je inderdaad garanderen dat niet alleen Google en Microsoft over dit probleem wisten. Maar daarvoor? Nee. Het is gewoon schandalig wat Google doet, hoe je het draait of keert. En dan hebben we er nog niet eens het feit bij gehaald dat ze er doodleuk een PoC bij hebben gezet.

Je eigen link duid trouwens op een vereiste tijd van 5 a 6 maanden. De helft van wat Microsoft heeft gekregen van Google.

[Reactie gewijzigd door Loller1 op 16 januari 2015 22:10]

@Cyber:
It is like full disclosure, with the addition that all stakeholders agree to allow a period of time for the vulnerability to be patched before publishing the details.

Nadruk op *ALLE* partijen! Of is Microsoft soms in deze geen partij?!

Dan ben ik toch heel erg benieuwd hoe jij ervoor gaat zorgen dat de identiteit van de gebruiker over een beveiligde verbinding *WEL* wordt gecontroleerd? Of ben jij zo'n systeembeheerder die de netwerk kabels van alle Windows machines trekt? Zal je baas blij mee zijn..
Aah jij weet hoe we ons kunnen beschermen tegen het probleem. Vertel ons is even wat het probleem precies inhoud en wat je kan doen om te voortkomen dat het gebruikt wordt.en hoe we dat kunnen toepassen in een netwerk met honderden computers.
Hoezo hebben ze recht op vrij als ze eerst slordig geprogrammeerd hebben en mij een onveilig os verkocht hebben? Rare logica.
Bij Apple krijgt men net zo veel vrij en dat systeem zit nog slechter in elkaar, als ze bugs niet eens binnen 6 maanden i.p.v. 3 gefixt kunnen krijgen.
In Google software zien ook fouten in osx ook, dus allemaal slechte programmeurs, bij die bedrijven. Hoe is het toch mogelijk dat ze ooit een besturing sturen hebben kunnen bouwen met al die matige programmeurs.
Hopelijk heeft de nieuwe manager bij MS nog de tijd om het tij te keren.MS heeft al tijden niets van betekenis van zich laten horen.
Flink de bezem er doorheen!
In de VS is het vrij gebruikelijk om (veel) minder vrije dagen te hebben dan hier. Als MS ervoor kiest om alle personeel een maand vrij te geven (okay, dat is wellicht overdreven, maar dus iets in die richting zals jij beweert) dan moeten ze ook accepteren dat er in die tijd niet gewerkt kan worden (....) Dat is dan toch echt hun probleem.

In werkelijkheid zal dat niet waar zijn, en verwacht ik dat er misschien geen grote klussen worden begonnen in december, maar er wel gewoon normale uren gedraaid zullen worden.

[Reactie gewijzigd door mae-t.net op 17 januari 2015 19:12]

Het zijn 90 kalenderdagen, geen 90 werkdagen, en in 90 kalenderdagen zitten doornee +/- 60 werkdagen, waarin natuurlijk nog meer moet gebeuren dan alleen de betreffende bugs.. Neem dan ook even mee dat alles zeer uitgebreid getest moet worden..
Het zijn 90 kalenderdagen, geen 90 werkdagen, en in 90 kalenderdagen zitten doornee +/- 60 werkdagen,
Dat is wel waar, maar niet relevant.
waarin natuurlijk nog meer moet gebeuren dan alleen de betreffende bugs..
Inderdaad. Security bugs zijn eigenlijk helemaal niet zo belangrijk, dat kan wel nadat de koffieautomaat gefixt is en het bureau van de secretaresse recht gezet.
Neem dan ook even mee dat alles zeer uitgebreid getest moet worden..
Natuurlijk. En dat gaat voor het grootste deel volledig automatisch tegenwoordig en gelukkig werken computers ook gewoon in het weekend.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True