Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 215 reacties

Microsoft heeft kritiek geuit op de vroege publicatie van een kritiek Windows-lek door Google. Het bedrijf beschreef de kwetsbaarheid op zijn blog, tien dagen nadat deze aan Microsoft was gemeld. Het lek zou actief worden gebruikt door kwaadwillenden.

Microsoft laat in een bericht aan Venture Beat weten dat 'het in het gecoördineerd melden van kwetsbaarheden gelooft en de publicatie door Google een potentieel risico vormt voor gebruikers'. Google beschrijft de kwetsbaarheid op zijn eigen beveiligingsblog. Daar stelt het bedrijf dat het op 21 oktober zero day-kwetsbaarheden aan zowel Adobe als Microsoft heeft gemeld. Vijf dagen later kwam Adobe met een patch voor het Flash-lek met kenmerk CVE-2016-7855. Microsoft bracht geen patch uit.

Google schrijft verder dat het daarom over is gegaan tot publicatie, wat in overeenstemming is met zijn beleid voor het melden van lekken die actief gebruikt worden. Daarvoor hanteert de zoekgigant zeven dagen in plaats van de gangbare zestig dagen om een patch te ontwikkelen. Bij het Windows-lek gaat het om een methode waarmee een lokale aanvaller door middel van privilege escalation aan de sandbox kan ontsnappen. Google beschrijft bovendien de win32k.sys system call waarmee de kwetsbaarheid gebruikt kan worden, maar treedt niet verder in details.

Bronnen melden aan Venture Beat dat de Windows-kwetsbaarheid alleen te gebruiken is in combinatie met het lek in Flash. Google raadt gebruikers aan om Flash te updaten en Windows-patches uit te voeren zodra deze beschikbaar zijn.

Moderatie-faq Wijzig weergave

Reacties (215)

Dit is niet de eerste keer dat Google zo'n geintje uithaalt met Microsoft. Dit is gewoon een stukje marketing ten koste van gebruikers. De vorige keer was het een maand geloof ik, nu 10 dagen? Straks dus 24 uur?

Het is niet aan Google om Microsoft te vertellen hoe ze hun security moeten uitvoeren, Google heeft een beroerde track record als het om security in hun software producten aankomt en ze hebben een stukje minder ervaring want MS is al heel wat langer bezig in de software markt.

Als Microsoft nou een slecht update beleid had (Kuch, android, kuch) zou ik kunnen begrijpen dat je als security expert misschien een beetje wilt pushen zodat de boel gefixt wordt. Maar Microsoft heeft wat dat betreft een goede kijk op de zaak en is vrij vlot met het fixen van gaatjes.
Google schrijft verder dat het daarom over is gegaan tot publicatie, wat in overeenstemming is met zijn beleid voor het melden van lekken die actief gebruikt worden
Vanaf dat een lek gemeld wordt, gaat Microsoft monitoren of het lek misbruikt wordt. En Google denkt echt dat ze een beter inzicht hebben? Misschien ook wel gezien veel Chrome gebruikers de Windows telemetry e.d. (of privacy schendingen) uitschakeld... maar wel Chrome gebruiken :)

Ik vind dit zelf tamelijk onbeschoft van Google. Google vindt dus Google doet. Naast dat dit gewoon een marketing campaigne is.

EDIT: Gezien deze ook mooi bovenaan staat
Daar stelt het bedrijf dat het op 21 oktober zero day-kwetsbaarheden aan zowel Adobe als Microsoft heeft gemeld. Vijf dagen later kwam Adobe met een patch voor het Flash-lek met kenmerk CVE-2016-7855. Microsoft bracht geen patch uit.
CVE-2016-7855 https://technet.microsoft...ry/security/ms16-128.aspx
Published: October 27, 2016

Microsoft heeft een patch vrij gegeven op 27 oktober 2016! 6 dagen na het melden van het lek.


Zowel Google als Tweakers mogen wat beter hun huiswerk doen.

EDIT2: Toelichting op de patch. Het actieve misbruik vond/vind plaats via de exploit in Flash die op zijn beurt de (nog ongepatchde) kernel exploit gebruikte. Niet de kernel exploit los. Het daadwerkelijke lek (Vanaf een website je privilege escaleren) is dus gedicht. Het "ernstig kritieke", waardoor Google zich genoodzaakt voelde de werking vrij te geven, is dus downgraded naar gewoon kritiek. En dat kan -tenzij het in het wild gespot wordt- gewoon wachten op een patch tuesday.

[Reactie gewijzigd door batjes op 1 november 2016 13:37]

Ik heb inderdaad ook eerstehands ervaring met de support van Microsoft op het gebied van serieuze bugs. In mijn geval had ik er een gevonden in de .NET runtime.

Proces ging als volgt:
- Melden via de eerstelijn aan Microsoft;
- Diezelfde dag doorverwezen naar een software developer van het .NET team;
- Die ging het probleem eerst proberen te reproduceren als een minimum viable test-case; hier ging wat communicatie over en weer;
- Dag erna deelde hij deze code met mij om te confirmeren dat het om dezelfde bug ging. Na confirmatie werd diezelfde dag nog een fix gemaakt;
- Aangezien de runtime open source is, kreeg ik zelfs in een mail de relevante GIT changes;
- Vervolgens ging het gehele pakketje naar de QA dept., waar ze het opnamen in de documentatie van de KB, de update package in elkaar sleutelden voor de KB, meenemen in de tests voor de windows update package, de beschrijving op de website, etc. (dit kost wat dagen)
- En bij de volgende service update werd het uitgerold samen met nog een aantal fixes. (en ook dit kost ook een aantal dagen)

Ik kan me echt niet een veel beter proces voorstellen. Juist door niet te snel een update naar de markt te pushen en het rigide, extreem professionele systeem te hanteren voorkomen ze dat een bug-fix nieuwe issues oplevert. Ik kan niet anders zeggen dan dat ik het echt als een uitstekend proces heb ervaren.

De professionals doen hier gewoon hun ding en ze doen hun ding bijzonder goed. Ik zou het heel fijn vinden als partijen als Google dit niet proberen te ondermijnen met dergelijke stunts.
Top dat deze ook omhoog gevote is, wou het zelf doen maar dat mag natuurlijk niet :P
Google zelf gaat goed om met security. En is altijd snel met een fix. Alleen de fabrikanten die een aangepaste Android op hun telefoons gooien zijn traag. En werken niet mee. Maar zover ik weet is de Nexus altijd erg snel met updates ontvangen.
Snel een fix? Ben je vergeten hoelang het duurde dat het vorige lek in media gedicht werd in Android? Sterker nog, Google heeft tegen een grote groep gebruikers gewoon gezegd 'sorry, maar jullie versie van android is echt te oud'.

stagefright timeline:
- april 2015 gemeld
- mei 2015 alleen gefixed in interne (!) code van google
- juli 2015 publiek gemaakt
- 5 augustus presentatie en verdere info de wereld in geholpen, nog geen patch van google
- 12 augustus eerste publieke patch google die niets oploste.\

google deed er meer dan 120 dagen over om de gerapporteerde bug te fixen!! (en we zullen het er maar niet over hebben hoe het rampzalige updatemechnisme er voor zorgt dat sommigen nog steeds zonder patch zitten)

zie ook: https://blog.exodusintel....ght-mission-accomplished/
Deden ze wel...
Dat zegt ie toch in zijn bericht ?
Google brengt netjes patches uit voor de branch van Android, dat andere telefoon makers deze niet uitrollen, kunnen hun weinig aan doen.

Het update mechanisme werkt prima met stock Android, alleen wordt dit door de meeste Android custom roms aangepast, kun je Google niet schuldig om maken.
Google heeft er meer dan 120 dagen over gedaan om überhaupt met een patch te komen die de fabrikanten konden gebruiken en die patch die ze toen uitbrachten werkte niet eens.

Meer dan 120 dagen over een patch doen is niet 'netjes patches' uitbrengen
Komt omdat ze die patch compatible moesten maken met alle custom roms.
Kortom, ze kregen constant feedback dat er een klein dingetje niet werkte omdat dat weer net iets anders werkte.
Dan schiet het sowieso niet op.
Nee Google heeft ook helemaal niet een gratis makkelijk aanpasbaar en daardoor beroerd update-baar OS op de markt gebracht om lekker marktaandeel te pakken en data te kunnen graaien.

Dat kan ik Google absoluut WEL kwalijk nemen, want als het ze iets kon schelen hadden ze het wel anders aangepakt van meet af aan. Maar ja, een lekke Android kan nog steeds vrolijk meebouwen aan de gebruikersprofielen van Google zodat ze advertenties voor een hogere prijs kunnen verkopen.
Ook bij Android staan sommige CVE een paar maanden open. Daarmee zeg ik niet dat Google niet goed omgaat met hun security, maar het is niet alsof Google altijd binnen een week een patch uitbrengt.
Bij Microsoft is het standaard dat het lang duurt, dat is al heel lang bekent.
Weet niet waarom mensen lopen te zeuren op Google, anderen kunnen ook op deze wijze werken, kan Google ook weinig aan doen als mensen hun eigen protocollen tegen hun gebruikt ;)
Standaard dat het lang duurt? Wat noem jij lang? Ik vind juist dat Microsoft altijd best snel is. En ze backporten meestal alle patches ook naar oude software (dat doen weinig bedrijven).
Microsoft altijd best snel ?
Hoor je jezelf nou praten ?
Ik gebruik al Windows jaren en jaren, snelheid was vroeger redelijk goed, maar ze zijn kwa releases van patches luier en luier geworden, dus ik ben het hiermee niet mee eens, puur uit persoonlijke ervaringen.
De support van Microsoft duurt ook ontiegelijk lang, omdat ze altijd eerst standaard vragen gaan stellen, en dan nog komen ze er vaak niet uit.
Vaak genoeg gehad dat er gewoon een bug zit ergens, en dat duurt dan wel even voordat het gefixed is.

Naast dit, tuurlijk, ik gebruik zelf gewoon Windows, gezien over het algemeen een boel games alleen goed functioneerd op Windows.
Als het aan mij lag, was ik al volledig naar Linux overgestapt, maar helaas, heb gelukkig wel dualboot, dus ik kan altijd switchen :)

En dat backporten is niet zo heel erg raar, M$ gebruikt vaak oude code, en "upgraden" dit, waardoor backporten niet zo heel erg moeilijk is.
Android was vroeger pas heel erg kak, maar is sinds latere major versies flink op vooruit gegaan.

Ik ben het er wel met je eens dat Google wel iets mag doen aan hun upgrade systeem, dat kan altijd nog beter.
Je beantwoord mijn vraag nog steeds niet. Wat noem jij best lang? De security patches zijn meestal allemaal bij de volgende patch tuesday (of als echt kritisch soms eerder) uit. Dat vind ik snel, voor een complex systeem zoals Windows. Ze hebben dan de patches door hun hele QA proces gehaald en dat duurt ook even.

Daarnaast heb ik hele andere ervaringen met de support van Microsoft. Natuurlijk moet je eerst langs de eerste lijns dat is bij elke support desk zo. Maar bij mij heeft het nooit langer dan een paar dagen geduurd voordat ik naar de volgende lijn werd doorverwezen als dat nodig was. Daarnaast heb ik professioneel gezien een nog veel betere ervaring maar daar betalen wij natuurlijk ook voor. Bij de product ontwikkeling clubs krijg je vaak zelfs contact met een team member van dat ontwikkelteam als ze het niet kunnen reproduceren.

De support van Google is echt 100x beroerder. Ze hebben nieteens een echte support afdeling en tickets worden 9/10 gewoon genegeerd.

Backporten niet moeilijk? Ik ga er even vanuit dat jij geen professionele programmeer kennis hebt want dit slaat nergens op. Ook al zijn sommige windows versie op elkaar gebaseerd zitten er nogal wat wezenlijk verschillen en kun je er 99% zeker van zijn dat ze een fix op windows 10 niet even kunnen copy-pasten naar windows 7.

*offtopic* Je gebruik van M$ is ook niet meer van deze tijd. Microsoft is allang uit die "evil" mode gestapt.
"Backporten niet moeilijk? Ik ga er even vanuit dat jij geen professionele programmeer kennis hebt want dit slaat nergens op. Ook al zijn sommige windows versie op elkaar gebaseerd zitten er nogal wat wezenlijk verschillen en kun je er 99% zeker van zijn dat ze een fix op windows 10 niet even kunnen copy-pasten naar windows 7."

Kijk, en hier verschillen we van elkaar.
Jij probeert een mening te doen overkomen als een feit, en dit is niet zo.
Backporten is niet zo heel moeilijk, tenzij je de source code niet meester bent, tja, dan moet je als programmeur inderdaad even zoeken.

Backporten is sowieso onlogisch als het ene besturingsysteem niet datgene bevat wat het andere wel heeft, en dan is backporten natuurlijk niet logisch.

"*offtopic* Je gebruik van M$ is ook niet meer van deze tijd. Microsoft is allang uit die "evil" mode gestapt."

Dat mag je denken, ik denk daar dus heel anders nog steeds over. Ze zijn nog steeds bezig met acties die vaak niet door de beugel kunnen, maar inderdaad, ze zijn wel iets "beter" geworden, maar of ze van "evil" mode gestapt zijn, neuh, dat denk ik niet.

Het is grappig hoe je je aangesproken voelt en mij aanvalt op mijn meningen, vind ik prima, maar je zal hier niet iemand zover mee gaan krijgen dat ze je willen doen geloven.

Jou ervaringen en die van mij verwezenlijken zeer van elkaar, en dat is prima, misschien ben je gewoon een fanboy, niks mis mee, maar houdt je niet-feitjes voor je, of geef aan dat dit je mening is, want nu lijkt het allemaal alsof je het in mijn strot wilt duwen, en dat accepteren een boel mensen niet.

Google is vaak genoeg bezig met support, dat jij daar een andere ervaring mee hebt dan anderen kan, ik ben namelijk wel altijd goed geholpen, dus daar hebben we toch een verschil in mening weer.
Kijk, en hier verschillen we van elkaar.
Jij probeert een mening te doen overkomen als een feit, en dit is niet zo.
Ik wil niet op de man ofzo spelen maar jij zei het volgende:
En dat backporten is niet zo heel erg raar, M$ gebruikt vaak oude code, en "upgraden" dit, waardoor backporten niet zo heel erg moeilijk is.
Je stelde dit zelf als een feit en niet als een mening. Ik ontkrachtte die mening uit mijn ervaring als ontwikkelaar in grote complexe systemen. Elke goede ervaren ontwikkelaar zal altijd zeggen dat de moeilijkheid om iets te backporten over meerdere codebase die allemaal apart in support zijn niet onderschat moet worden en dat, zoals ik al zei, je het niet allemaal even zou kunnen "copy pasten". Tuurlijk zullen er gevallen zijn waar de fix wel makkelijk te backporten zal zijn maar er zijn zoveel dingen waar je rekening mee moet houden dat je het gewoon niet makkelijk kunt noemen.
Het is grappig hoe je je aangesproken voelt en mij aanvalt op mijn meningen, vind ik prima, maar je zal hier niet iemand zover mee gaan krijgen dat ze je willen doen geloven.
Ik voelde me helemaal niet aangesproken en viel je ook helemaal niet aan. Ik was het niet eens met jou stellingen en gaf dus een tegen mening en onderbouwde die met eigen ervaringen. Daarnaast stelde ik ook netjes een vraag om je duidelijker te begrijpen maar die heb je gewoon niet beantwoord.
Jou ervaringen en die van mij verwezenlijken zeer van elkaar, en dat is prima, misschien ben je gewoon een fanboy, niks mis mee, maar houdt je niet-feitjes voor je, of geef aan dat dit je mening is, want nu lijkt het allemaal alsof je het in mijn strot wilt duwen, en dat accepteren een boel mensen niet.
Mijn reactie was hetzelfde opgebouwd als die van jou. Ik reageerde namelijk op "feitjes" die jij in je reactie had neergezet. Het is een beetje meten met twee maten als ik die manier niet mag gebruiken maar jij wel.

[Reactie gewijzigd door Rutix op 2 november 2016 18:05]

Ik had niet voor niks "vaak" gezegd, gezien dat gewoon zo is.
Dat dat blijkbaar bij jou minder vaak gebeurd, dat kan, maar dat is niet hoe ik het ervaren heb.

MIjn punten zijn geen feiten, gezien ik duidelijk aangeef dat het uit mijn ervaring is, dat heb je blijkbaar uit de context gevist, moet je zelf weten, maar verdraai alsjeblieft niet mijn woorden door juist datgene eruit te laten wat duidelijk aangeeft dat dit een mening is.

Verder wil ik er geen woorden meer aan vuil maken.

Om maar een voorbeeld te geven:
https://www.security.nl/p...ok+Web+Access+te+omzeilen

Weer een exploit waar nog steeds geen fix voor is, en MS hier wel over is ingelicht ver van tevoren.
Dus ja, de werkelijkheid is gewoon dat Microsoft gewoon niet snel is, een boel van dit soort "workarounds" moeten worden gedaan, omdat juist Microsoft nog niet met een oplossing komt.

[Reactie gewijzigd door Power2All op 3 november 2016 12:38]

Dus? Zie de Windows installs hetzelfde als Android installs en dat track record van Google is rampzalig, op zijn best.

MS heeft deze strijd met OEMs in de jaren 80 en 90 al gevoerd, waardoor MS vandaag de dag een fatsoenlijke controle heeft over zijn OS. Dat was vroeger anders

Google heeft zelf de situatie in Android zo veroorzaakt. Ze hadden gewoon naar OSX, Windows of zelfs Red Hat kunnen kijken van "Hoe het wel moest". Maar Google wou dat OEMs hun vrijheid kregen zodat Android makkelijk geadopteerd kon worden en zo de markt kon overnemen, want fabrikanten hadden geen zin in de veeleisende en strenge bemoeienis van Microsoft.

Het is gewoon een keuze geweest van Google, en zijn dus gewoon verantwoordelijk voor de veiligheidspuinhoop genaamd Android. Dat het tegenwoordig met Android wel oke zit kwa veiligheid neemt niet weg dat er nog een boel gebruikers op antieke versies zijn blijven hangen.
Zelfs als een fabrikant stock android draait dan nog zal Google geen updates voorzien voor die specifieke toestellen maar moet na de release de patch alsnog heel het trage process bij de fabrikant doorlopen. Dat de Nexus snel is, is omdat Google daar wel het beheer van de software op zich neemt.
Dit kan echter nog veel beter.
Release Android Nougat:
-22 augustus 2016
Uitrol Android Nougat voor Nexus telefoons begonnen op:
-22 augustrus 2016
Hoelang kun je wachten op een update hier in Nederland?
Waarschijnlijk een maand of twee. Dit weet ik zelf uit ervaring, omdat ik ook Nexus apparaten heb gehad.
Microsoft heeft dit beleid gewoon een stuk beter op orde. Ik kreeg de anniversary update voor mijn Windows 10 Mobile telefoon een week na de release. Dat is nogal een verschil! Idem dito voor Apple. En na 18 maanden hoef je niet meer te verwachten dat je nog updates krijgt. Dat is bij Apple en Microsoft wel anders. De Nexus 5 is nieuwer dan de Lumia 930. Waarom krijgt de 930 dan wel Windows 10 en de Nexus 5 geen Android Nougat?

[Reactie gewijzigd door daanb14 op 1 november 2016 10:17]

Die anniversary update was rampzalig...
Boel games die ik had gingen kwa performance van iets van veel FPS naar 1 FPS....
En dat had niks te maken met video drivers, dit was puur een aanpassing op hun platform waardoor een boel DX9 games aangetast werden.
Bij een recovery terug van Anniversary was het probleem verholpen, dus dat concludeerde voor mij genoeg.

Microsoft is de laatste tijd gewoon shit aan het pushen in hun patches, wordt er een beetje moe van alle zooi erin.
Alleen de fabrikanten die een aangepaste Android op hun telefoons gooien zijn traag.
ALLE fabrikanten zijn traag. En Google is hier mede schuldig aan. Als er een security fix is voor Windows hoef je ook niet te wachten op HP, Lenovo, Acer, Sony, etc.

Google had gewoon het core-OS en de drivers van elkaar moeten scheiden zodat ze zelf het OS kunnen updaten en de fabrikanten alleen verantwoordelijk zijn voor drivers.
En hoe lang krijg je updates voor je Nexus toestel? 18 maanden en dat tellertje loopt vanaf de release van het product, niet jouw aankoopdatum.

Het enige wat Google heeft gedaan om het probleem ietswat minder erg te maken is systeemapps loskoppelen van het OS (zoals de webviewer). Zoals hier al gezegd is, Google heeft het probleem zelf gemaakt. Als Google echt met security in zou zitten, zouden ze ook oudere versies van Android voorzien van updates en niet enkel de laatste nieuwe versie. Wat ze nu doen is met de vinger wijzen en het probleem niet oplossen.
Reguliere updates gegarandeerd tot 2 jaar na de eerste verschijning in Google Store.

Security updates gegarandeerd tot 18 maanden vanaf de datum waarop ze het toestel voor het laatst hebben verkocht in de Google Store (18 maanden voor Pixel telefoons en 2 jaar voor Nexus) of indien langer 3 jaar sinds hij voor het eerst werd uitgegeven.

https://support.google.com/playedition/answer/4457705?hl=en
De eerste paragraaf is incorrect, Google's Nexus update beleid is updates tot:
1) 3 jaar vanaf release
2) tot 18 maanden na laatste verkoopmoment (dus tellertje loopt in dat geval dus letterlijk wel van je aankoopdatum)
3) afhankelijk van 1 of 2, de langst mogelijke periode wordt aangehouden

En Google voorziet tegenwoordig wel degelijk patches voor oudere Android versies. I.e. Marshmallow branch krijgt nog steeds patches, ondanks dat Nougat al uit is.

Dat het nog beter zou kunnen, is zeker waar. Maar dit zijn gewoon onjuistheden.
Marshmallow kan je niet met een uitgestreken gezicht 'oud' noemen. Het is de op één na recentste versie. (7.1 is vooral marketing voor Googles eigen winkel.) 6.x en hoger hebben volgens mij ook nog een redelijk bescheiden marktaandeel, dus qua beveiliging zijn ze nu niet heiliger dan de paus...

Google hangt hier een beetje de betweter uit. Dat ze eerst
Kan Google wel mooi weer spelen met snel een fix voor de eigen apparaten, het is wel Google zelf wat gekozen heeft voor de gefragmenteerde verspreidingsoptie via de fabrikanten waardoor meer dan 80% van de gebruikers niet de laatste versie hebben.

Als Google het updaten van Android qua hotfixes serieus zou nemen, dan deden ze dat via de playstore voor echt kritieke zaken.
Ben ik niet met je eens.Dit zijn kritieke lekken ,die al misbruikt werden.Na 10 dagen was er nog geen fix van onze software gigant .Kom op zeg.je zou maar slachtoffer zijn er er zo achter komen.
Dat het een kritiek lek is, is het oordeel van Google. Bijkomend is Windows een zeer complex stuk software, daar rol je niet zomaar op 1 dag een patch uit. De acceptance testen alleen al zullen wel wat tijd in beslag nemen.

Dat MS sneller mag zijn met het uitrolen van patches, daar ga ik mee akkoord. Maar het is niet aan Google om een ander bedrijf te gaan dicteren hoeveel tijd ze zouden moeten nemen.
Het is een kritiek lek (privilege escalation) wat actief gebruikt wordt. Dus ja, dan mag je best Microsoft op hun vingers tikken.

Alsof Microsoft nog aan acceptatie-testen doet, dat heet tegenwoordig de Insider Preview :+
Op de vingers tikken? Door de info naar buiten te gooien zodat iedereen met de exploit aan de slag kan (hetgeen waar Microsoft nu over klaagt)? Nu moeten ze gaan haasten en mogelijk minder grondig testen omdat ze nu onder tijddruk zijn gezet door Google waardoor er mogelijk half werk geleverd wordt.

Ik snap best dat je een bedrijf wilt straffen die niet op tijd met updates komt, maar is wat Google doet dan de oplossing? Ze maken bewust het probleem erger om Microsofts hand te forceren. Uiteindelijk is de gebruiker hiervan de dupe.

Dus met deze actie schiet niemand (behalve de hackers / script kiddies die deze exploit nog niet kende) wat op.
De exploit werd al actief gebruikt, dus het heeft geen zin om het verder nog geheim te houden. Ik snap niet waarom je Google de schuld geeft van Microsoft's slechte programmeerwerk? Ze hebben een heel duidelijk en redelijk beleid: 60 dagen tijd om te fixen als het nog niet misbruikt wordt, 7 dagen als dat wel zo is.
Nou, omdat je niet wilt dat een fix een ander stuk code laat klappen. Of omdat je niet wilt dat een fix niet installeert op bepaalde systemen (of erger). Of omdat je eerst een unit test wilt opnemen in de enorme test suite die draait op enkele honderden test-machines en die test-run wilt afwachten. Of omdat je wilt kijken hoe je fix wel/niet samenwerkt met de vele andere updates. Of omdat je naast de bug fix ook nog wat documentatie wilt schrijven en moet vertalen naar alle Windows-supported talen. Of omdat het simpelweg tijd kost voordat je een update uitgerold hebt naar een miljard systemen. Of...

Er zijn legio redenen te bedenken om eerst door een rigide QA procedure te gaan voordat je een fix publiceert naar een systeem dat op meer dan een miljard systemen draait. Ik geef Microsoft helemaal gelijk dat ze het proces gewoon doorlopen. Tijdsdruk is ultimo niemand bij gebaat.

En Google? Google zou beter moeten weten.
Ik geef Google ook gelijk om actie te ondernemen. Zou mooi zijn als meer bedrijven dat zouden doen. Elkaar in de gaten houden, en melden wanneer er wat gevonden wordt. Wordt alles alleen maar beter van, dus zeker puik werk.

Maar hoe Google er mee om gaat is wel schofterig. Wat ze nu hebben gedaan zijn alleen de consumenten de dupe van en forceert Microsoft om te haasten (en dus mogelijk andere problemen introduceren omdat er nu tijdsdruk is, dus minder tijd om te testen).

Google kan prima een beleid hebben. Ik kan ook een beleid hebben dat als je op mijn comments replied dat je je ongeboren kind aan mij dient af te staan. Je kan wel zoveel verzinnen, maakt het nog niet wettelijk of geldig (of zelfs zinnig).

Dus leuk dat ze die tijden duidelijk aangeven, daar heeft niemand een boodschap aan, nog hoeft Microsoft (of wie dan ook) zich daar aan te houden. Google zit hier zelf voor politie en rechter te spelen en dat is gewoon extreem fout. Melden is prima. Zelf anderen bedrijven in een hoekje jagen en consumenten onnodig in gevaar brengen is dat niet.
Microsoft monitord zelf gemelde exploits dankzij de bult data die Windows naar huis telefoneert. (Ook daarom is het van belang het niet allemaal eruit te slopen). Zodra een exploit actief misbruikt wordt en mensen er last van kunnen krijgen, gaat zo'n patch bijna linea recte de Windows Update in als geforceerde update. Maar voor hetzelfde geld is het volgens Google zo kritieke lek, helemaal niet zo kritiek (zoals de vorige keer, waarbij als ik het goed had, je achter het systeem moest zitten om daar gebruik van te maken naast dat je volgens mij zelfs admin rechten al nodig had.) volgens Microsoft.

MS heeft ondertussen wel wat ervaring opgedaan met security en hoe ze om moeten gaan met patches. Wie is Google om MS hierin te forceren? Helemaal aangezien Google het toonbeeld is van "hoe het niet moet".
Zeker ben met je eens dat Google more than evil is,maar dat neemt niet weg ,dat Microsoft zijn zaakjes op orde moet hebben,zeker als ze ieder1 een windows 10 door de strot douwt .Als een ander gaat melden ,dat er bij jouw lekken zitten,dan sla je de plank als software gigant toch aardig mis.
Misschien stond de update al klaar voor de volgende patch tuesday, of beinvloed de fix nogal veel intern in het OS of de kernel en moest er wat meer getest worden waardoor de quality control wat langer duurt. Maar voor hetzelfde geld, kan deze kritieke exploit wederom niet zo kritiek zijn als Google doet overkomen.

En inplaats van de gehele exploit te publiceren had Google ook gewoon publiekelijk er melding van kunnen maken.
Zeer zeker ben ik dat met je eens.Wij moeten maar geloven wat de media ons voorschotelt .

Over de melding zit je er naast.Die is gedaan ,10 dagen geleden al.
Volgens dit artikel op tweakers dan.Ik neem nieuws van tweakers wel vrij serieus.
Ik las me net wat verder in op deze exploit.

Microsoft heeft op 27 oktober 2016 een patch vrijgegeven voor deze exploit. https://technet.microsoft...ry/security/ms16-128.aspx
Published: October 27, 2016

Dus die 10 dagen is onzin en zowel Google als Tweakers mogen beter hun huiswerk doen.
Volgens mij is dat de patch van Flash die er na 5 dagen was, niet de patch in Windows zelf.
Klopt, maar het lek zelf is momenteel dicht. De exploit in flash werd actief gebruikt, niet het gat in de kernel. Nu staat het gat in de kernel wagenwijd open en misschien is de fix wel dermate ingrijpend dat MS 2 maanden nodig heeft dit fatsoenlijk op te lossen... En dan? Nu ben ik dus potentieel 2 maanden de sjaak omdat Google zo nodig Microsoft de hak wilt zetten?
De exploit maakte gebruik van beide gaten, anders is er geen exploit. Jij bent nu twee maanden op de hoogte van de kwetsbaarheid, en als MS het gat niet dicht weet je in ieder geval dat je even geen nieuwe plugins moet installeren. Zonder publicatie kunnen kwaadwillenden evengoed van de exploit gebruikmaken (alsof ze onderling niet communiceren, kom nou...), alleen kan jij je er dan niet tegen wapenen.
@batjes

Is maar hoe je het wilt zien uiteraard. Je bent potentieel al jaren de sjaak. Zolang als het lek bestaat namelijk.

Het is nu in de openbaarheid gebracht. Dat het openbaar is wil niet zeggen dat selecte, wij delen het liever niet omdat het voor ons wel extreem handig is, groepjes, hem niet allang kennen.

Wat dat betreft een extreem lastige discussie. Het gaat namelijk veel meer over meningen dan feiten. De een heeft de voorkeur om iets te weten en zichzelf te kunnen beschermen, de andere heeft de voorkeur in de veronderstelling(/illusie?) te leven dat als het niet geopenbaard wordt dat ook meteen wil zeggen dat niemand het weet en mis-/gebruikt (natuurlijk misbruikt bij cryptoware en gebruikt bij de NSA, of was het nou andersom, of altijd misbruikt, meer opinie... ;)).
Ik weet niet wie je een -1 geeft,maar je hebt je huiswerk goed gedaan mijn vriend, :) Dat bewonder ik aan mensen zoals jouw.Die graven dieper ,kijken verder .Ik dank je.
Ik ben het niet, over het algemeen reageer ik met een reactie OF met een oordeel, maar zoals je kan lezen heeft batjes mij net gelijk gegeven toen ik zei dat MS z'n gat nog niet gedicht heeft. Die patch van 27 oktober is de patch van Flash die, zoals in het artikel staat, na 5 dagen beschikbaar was. Batjes had z'n huiswerk dus niet zo goed gedaan.

[Reactie gewijzigd door RSpanjaard op 1 november 2016 12:21]

Nouw ja ,dit verhaal krijgt wel een heel rare plot zo.Ik denk dat ik beter ff mijn mond ga houden,want hoe het nu zit ,ik weet het niet :? .
Ik heb geen flash juist van wege mogelijkheden die kwetsbaar zijn,maar ik begrijp dus dat ik juist flash moet installeren ?
Huh? Nee, natuurlijk niet. Flash verhoogt je beveiliging niet.

Heel kort uitgelegd: Er zit een beveiligingslek in Windows, maar dat lek is niet direct voor misbruikers toegankelijk. Het lek is echter WEL toegankelijk via bepaalde software, zoals Flash. Adobe heeft intussen gezorgd dat Flash GEEN toegang meer geeft tot het lek in Windows. Het lek in Windows zit er echter nog steeds.
Huiswerk wel goed gedaan, de patch werd in de browsers misbruikt, nog niet daarbuiten. Google claimed ook alleen dat het ziet dat de exploit in Chrome misbruikt werd. Wat gefixt is, Edge/IE zijn ook gefixt en Flash voor Firefox ook. Dus momenteel heb je al lokale toegang nodig wil je deze exploit uitvoeren, en zo enorm kritiek is dat niet. Echt kritieke exploits zijn vanaf het internet te misbruiken zonder tussenkomst van de gebruiker.

Het huidige actief misbruikte lek is dus al gefixt. Het nog niet misbruikte lek in de kernel, nog niet. Straks (of misschien nu al) dankzij Google dus wel.
Ik ga geen welles-nietes-spelletje met je spelen. Jij beweerde iets wat niet waar is (namelijk dat MS z'n lek ook gedicht had na 6 dagen), en nu probeer je je eruit te draaien. Succes ermee.
Het lek is een combinatie van een flash + kernel exploit. Edge en IE zijn gefixt toch? Dit lek is dicht.
Dit is niet de eerste keer dat Google zo'n geintje uithaalt met Microsoft. Dit is gewoon een stukje marketing ten koste van gebruikers. De vorige keer was het een maand geloof ik, nu 10 dagen? Straks dus 24 uur?
Wat een onzin kraam je uit zeg... Google heeft 3,5 jaar terug gecommuniceerd hoe het omgaat met kritische kwetsbaarheden. Je kunt het hier allemaal teruglezen. Daarin staat keurig omschreven dat Google een termijn van 60 dagen acceptabel vindt, maar dat het natuurlijk altijd beter is om een kortere termijn te hanteren. Google hanteert zelf een termijn van 7 dagen. Het is dus al 3,5 jaar hetzelfde, dus waarom je een dikke +2 krijgt voor absolute onzin is me niet duidelijk.
Het is niet aan Google om Microsoft te vertellen hoe ze hun security moeten uitvoeren, Google heeft een beroerde track record als het om security in hun software producten aankomt en ze hebben een stukje minder ervaring want MS is al heel wat langer bezig in de software markt.
Als ik als automobilist op de weg zit, dan heb ik ook het recht om andere automobilisten op hun verantwoordelijkheden te wijzen. Zeker als ze een achterlichtje kapot hebben bijvoorbeeld.

Als Google constateert dat er een veiligheidslek actief misbruikt wordt, dan komen er bij mij direct twee vragen naar buiten: 1) Waarom heeft Microsoft dit niet gemeld? Ze hebben toch zulke goede telemetrie? 2) Waarom heeft MIcrosoft dit niet opgelost?
Als Microsoft nou een slecht update beleid had (Kuch, android, kuch) zou ik kunnen begrijpen dat je als security expert misschien een beetje wilt pushen zodat de boel gefixt wordt. Maar Microsoft heeft wat dat betreft een goede kijk op de zaak en is vrij vlot met het fixen van gaatjes.
Ik weet niet wat je vlot noemt, maar een veiligheidslek dat er al 15 jaar of 19 jaar in zit noem ik niet vlot.

Om vervolgens Android te gaan afzeiken omdat de leverancier van jouw telefoon niet de laatste Androids update beschikbaar stelt. Tja... Flauwtjes.
Ik vind dit zelf tamelijk onbeschoft van Google. Google vindt dus Google doet. Naast dat dit gewoon een marketing campaigne is.
Je mag het onbeschoft vinden. Wees in ieder geval blij dat er iemand is die met een stok achter de deur het door jou betaalde en door jou geliefde Microsoft op de huid zit. Veiligheid moet altijd voorop staan en je kunt het wel bagetaliseren en roepen dat het marketing is (en dat is het ook), maar wees blij.

Jij hebt verdikkeme betaald voor Microsoft Windows. Het is aantoonbaar lek en jouw leverancier komt niet binnen een redelijke termijn met een fix. En wat doe je...? Je gaat de boodschapper afblaffen. Raar.
Maar Google had zelf wel meer tijd nodig voor Stagefright, beetje meten met 2 maten.
De reden dat Google dus vooral aan het bughunten is om concurrent zwart te maken.
Het is niet meten met 2 maten. Google geeft aan zelf een termijn van 60 dagen acceptabel te vinden, maar 7 dagen wenselijker te achten. Soms is dat alleen niet mogelijk. Maar moet een veiligheidslek dan maar onder de pet gehouden worden?

Je ziet dat de eerste melding van Stagefright in april 2015 gedaan wordt. Binnen een paar dagen zie je online al de eerste details hierover. Prima toch?
Wat een onzin kraam je uit zeg... Google heeft 3,5 jaar terug gecommuniceerd hoe het omgaat met kritische kwetsbaarheden. Je kunt het hier allemaal teruglezen. Daarin staat keurig omschreven dat Google een termijn van 60 dagen acceptabel vindt, maar dat het natuurlijk altijd beter is om een kortere termijn te hanteren. Google hanteert zelf een termijn van 7 dagen. Het is dus al 3,5 jaar hetzelfde, dus waarom je een dikke +2 krijgt voor absolute onzin is me niet duidelijk.
Het scheelt dat MS zich aan dat termijn hield en na 6 dagen met een patch kwam. https://technet.microsoft...ry/security/ms16-128.aspx Published October 27.

Dus Google houdt zich in dit geval ook niet aan hun eigen afspraken.
Als ik als automobilist op de weg zit, dan heb ik ook het recht om andere automobilisten op hun verantwoordelijkheden te wijzen. Zeker als ze een achterlichtje kapot hebben bijvoorbeeld.
Dat recht heb je, net zo goed als dat anderen het recht hebben jou mening naast zich neer te leggen, tenzij je een agent bent. Maar wie ben jij om anderen te vertellen hoe ze hun leven moeten leiden? (dat is een wat betere vergelijking dan iemand op hun fouten wijzen, er is hier door MS niet eens een fout gemaakt, want die hebben netjes 6 dagen na melding een patch klaar gezet). Tevens constateerde Google dat het lek actief misbruikt werd binnen Chrome, welke ze zelf al gefixt hadden. Buiten Chrome hebben ze geen kijk op tenzij ze allerlei OS informatie zoals wat je met Edge uitspookt naar huis aan het phonen zijn.
Ik weet niet wat je vlot noemt, maar een veiligheidslek dat er al 15 jaar of 19 jaar in zit noem ik niet vlot.
Ik hield op met lezen dat het een 15 jaar oude bug is in software wat net pas 10 jaar oud is en bij het schrijven van het artikel net 9. "15 jaar oude malware gevonden in alles vanaf Vista, welke gereleased is in 2006".

Maar elk OS heeft exploits en bugs in het systeem zitten die er al enige tijd inzitten. Over het algemeen, als het niet actief in het wild gebruikt wordt, worden zulke exploits niet snel gevonden. En degene die ze wel gebruiken (denk aan NSA e.d.) die hebben nog wel meer van dat soort zero-days op de plank liggen, en niet alleen voor Windows. Een OS is een complex geheel en laat Windows nou 1 van de meest complexe algemeen gebruikte OSen zijn (ik beweer niet beter) in verhouding tot een normale Linux distro of OSX, welke heel wat minder hardware ondersteunen en met minder functionaliteiten uit de doos komen.
Je mag het onbeschoft vinden. Wees in ieder geval blij dat er iemand is die met een stok achter de deur het door jou betaalde en door jou geliefde Microsoft op de huid zit. Veiligheid moet altijd voorop staan en je kunt het wel bagetaliseren en roepen dat het marketing is (en dat is het ook), maar wees blij.
Een stok achter de deur zetten != poging tot je concurent een hak te zetten, wat hier gebeurd.
Jij hebt verdikkeme betaald voor Microsoft Windows. Het is aantoonbaar lek en jouw leverancier komt niet binnen een redelijke termijn met een fix. En wat doe je...? Je gaat de boodschapper afblaffen. Raar.
Dus? Je betaald -hetzij indirect door tracking e.d, hetzij doordat de provider de ontwikkelkosten van Android in de prijs van een toestel incalculeerd- ook voor Android. In beide gevallen zit het op het product wat je doorgaans koopt, het overgrote deel van zowel de Android als Windows gebruikers, haalt de OSen niet los in huis.
Het scheelt dat MS zich aan dat termijn hield en na 6 dagen met een patch kwam. https://technet.microsoft...ry/security/ms16-128.aspx Published October
Dus omdat er een patch is moeten we het maar niet meer melden? Je zou het juist moeten melden, omdat het melden ervoor zorgt dat gebruikers dan ook daadwerkelijk de patch gaan downloaden en installeren. We kennen natuurlijk allemaal de befaamde Windows knop waarmee je updates weer een paar uur kunt uitstellen.

Ik hou niet zo van het onder de pet houden van veiligheidsissues. Dat is compleet verkeerd gedrag.
Gaat ook om het stukje
Microsoft bracht geen patch uit.
in het artikel.

Best om het te melden, dit bericht is in de huidige opzet vrij kansloos. Er is een patch, er wordt hier duidelijk een concurent op de hak genomen.
Ik hou niet zo van het onder de pet houden van veiligheidsissues. Dat is compleet verkeerd gedrag.
Het probleem is, voor hetzelfde geld kan Microsoft de patch gewoon niet binnen 10 dagen uitrollen en heeft het minstens 20 dagen nodig. Als Google dan na 10 dagen zonder enige vorm van communicatie (of eigen onderzoek, zoals die CVE in hun eigen zoekmachine kwakken) dan maar besluit de hele wereld te informeren over hoe je Windows op zijn knieëen krijgt waarmee je potentieel een half miljard gebruikers in 1 klap dupeert.....

Het is niet aan Google om over Microsofts beleid te beslissen, simpel. Als Microsoft nu een laks bedrijf was wat een hele stapel onbeveiligde OSen de markt op kwakt (kuch, android, kuch) was het een ander verhaal geweest. Maar Microsoft heeft kwa updaten en security al een aantal jaren een goed beleid.
Best om het te melden, dit bericht is in de huidige opzet vrij kansloos. Er is een patch, er wordt hier duidelijk een concurent op de hak genomen.
Nee, dat ben ik niet met je eens. Google heeft nergens in het artikel geschreven dat Microsoft geen patch heeft uitgebracht.
Het probleem is, voor hetzelfde geld kan Microsoft de patch gewoon niet binnen 10 dagen uitrollen en heeft het minstens 20 dagen nodig.
Het probleem is dat je gewoon meet met twee maten. Toen de Stagefright bug gepubliceerd werd voor Android, vond je het geen enkel probleem om lekker mee te schoppen. Ik heb nergens in het verhaal gelezen dat je het voor de Android-gebruikers potentieel onwenselijk vond dat dit soort lekken gepubliceerd werden.

En dat terwijl er ondertussen wel meer Android als Windows gebruikers zijn.
Nee, dat ben ik niet met je eens. Google heeft nergens in het artikel geschreven dat Microsoft geen patch heeft uitgebracht.
After 7 days, per our published policy for actively exploited critical vulnerabilities, we are today disclosing the existence of a remaining critical vulnerability in Windows for which no advisory or fix has yet been released
Het probleem is dat je gewoon meet met twee maten. Toen de Stagefright bug gepubliceerd werd voor Android, vond je het geen enkel probleem om lekker mee te schoppen. Ik heb nergens in het verhaal gelezen dat je het voor de Android-gebruikers potentieel onwenselijk vond dat dit soort lekken gepubliceerd werden.
Stagefright is bijna een half jaar overheen gegaan van melding tot publicatie. En dat ik daar tegen aanschop is omdat er vandaag de dag nog Android smartphones in omloop zijn (en niet te zuinig ook) die dat lek nog wagenwijd open hebben staan.
En dat terwijl er ondertussen wel meer Android als Windows gebruikers zijn.
Meer Android dan Windows gebruikers? Er zijn momenteel nog meer actieve Windows 7 installaties dan Android -versie x- toestellen op de markt. ~1.5miljard Android devices vs zo'n ~2 miljard Windows computers(er zijn op dit moment nog dik 800 actieve Windows 7's), op het internet.... Daar zit Microsoft's grote zakelijke kant voor een groot deel niet bij.

[Reactie gewijzigd door batjes op 1 november 2016 12:31]

Stagefright is bijna een half jaar overheen gegaan van melding tot publicatie.
De eerste meldingen bij Google zijn gedaan eind april en begin mei 2015, waarbij Google de eerste wijzigingen in de code al in mei heeft gedaan en vervolgens publiekelijk heeft uitgerold in augustus.

Ik vind het te laat, maar ben wel blij dat het gemeld is. Want alhoewel mijn toestel door het update-beleid van mijn fabrikant kwetsbaar is voor Stagefright, zorgt een eenvoudig aanpassing in de instelling van mijn MMS-berichten ervoor dat ik geen risico loop. En dat is precies wat je óók kunt bereiken met het melden van lekken.
Dat kan je inderdaad ook bereiken, maar de gemiddelde Android of Windows gebruiker komt niet op Tweakers en gaat geen howtos volgen om workarounds werkend te krijgen. Genoeg Android gebruikers die vandaag de dag nog nooit gehoort hebben van stagefright.
Die patch waar je 't over hebt is de patch van Adobe (waar ook in 't artikel over gesproken wordt). Op de pagina die je linkt staat ook dat deze patch alléén de Flash player fixt, niet Windows. Op de pagina van Adobe wordt dezelfde patch beschreven (https://helpx.adobe.com/s...ash-player/apsb16-36.html).

Het klopt dus dat Microsoft geen patch voor Windows heeft uitgegeven. Wel verspreiden ze de patch van Adobe voor Flash.
Veranderd er niets aan dat het huidige bericht van Google waarin Flash misbruikt wordt om tot die kernel exploit te komen om zo de sandbox uit te breken momenteel dicht zit.

Google claimed dat het lek actief in Chrome misbruikt werd, en gebruikt dat excuus om dit zo de wereld in te gooien. Terwijl de browsers nu allemaal gefixt zijn. "Het lek" wat een combinatie is van 2 exploits, is dicht.

Er is dus wel degelijk een patch.
Vanaf dat een lek gemeld wordt, gaat Microsoft monitoren of het lek misbruikt wordt. En Google denkt echt dat ze een beter inzicht hebben? Misschien ook wel gezien veel Chrome gebruikers de Windows telemetry e.d. (of privacy schendingen) uitschakeld... maar wel Chrome gebruiken
Het probleem is ontdekt in Chrome. Het is wel een beetje onzin om te roepen dat microsoft beter weet wanneer chrome misbruikt wordt dan google.

Iedereen loopt de zeuren dat 10 dagen veel te kort is, maar actief misbruikte exploits worden vaak onmiddelijk gemeld, zonder enige wachttijd. Vaak wordt dan niet de exploit code publiek gemaakt en dat is ook hier niet gebeurd
Het probleem is ontdekt in Chrome. Het is wel een beetje onzin om te roepen dat microsoft beter weet wanneer chrome misbruikt wordt dan google.
Chrome heeft alleen een veel kleinere install base als Windows (Chrome op android en andere OSen niet meegerekend). Dus naja, op basis van 1 browser kunnen stellen dat het voor het hele OS geld.
Iedereen loopt de zeuren dat 10 dagen veel te kort is, maar actief misbruikte exploits worden vaak onmiddelijk gemeld, zonder enige wachttijd. Vaak wordt dan niet de exploit code publiek gemaakt en dat is ook hier niet gebeurd
Wat is actief misbruik? Een NSA die de exploit gebruikt om targets over te nemen of skiddies die er botnets mee bouwen?

De eerste is leuk en aardig, goed het toont aan dat het actief misbruikt wordt. Maar zo'n partij ga je niet buiten de deur houden met 1 exploit fix. Die pakken dan gewoon de volgende exploit uit het mapje WindowsExploits.

De tweede gaat Microsoft ook wel opmerken en als dat het geval is pushen ze updates ook. Maar gezien naar alle waarschijnlijkheid MS nog andere exploit fixes in de pijplijn heeft zitten is het altijd een afwezing van de beschikbare resources. "Zet ik heel mijn security en quality control teams in op deze enkele exploit?".
Je bekijkt het alleen wel heel eenzijdig. Klanten van chrome worden actief aangevallen. Als ze het te lang stilhouden en het komt naar buiten kijkt iedereen Google aan voor het niet melden van een potentieel probleem.

Het enige wat google hier gedaan heeft is het melden dat er manier is om privilege escalation te bewerkstelligen. Zulke exploits worden door MS meestal aangeduid als "medium" en sowieso niet meteen gepatched. Ik zeg ook nergens dat microsoft het maar meteen op moet lossen, alleen dat het melden ook weer geen ramp is.
Er staat nergens hoe groot het misbruik is, alleen dat het in het wild gespot is. Overigens als ik zo nalees, Chrome's sandbox is gebroken. Ik zie niet terug dat Edge's sandbox ook gebroken is, zijn 2 totaal verschillende sandboxes. Flash is al geupdate en Chrome ook.

Tevens, https://technet.microsoft...ry/security/ms16-128.aspx

[1]This update is available via Windows Update.
[2]The Adobe Flash Player updates for Windows 10 updates are available via Windows Update or via the Microsoft Update Catalog.
Published: October 27, 2016

Dus zo laks is Microsoft niet eens.

/ik had dit eerder even na moeten lezen.
Volgens mij is dat de patch van Flash die er na 5 dagen was, niet de patch in Windows zelf.
Het gaat hier om project zero, het zero-day exploit zoek team bij Google. Het gaat hier om een zero-day exploit die actief gebruikt wordt, welk door Google's beveiligingsonderzoekers is ontdekt. In hun informatie staat duidelijk, dat als een zero-day exploit, die door het Google team wordt ontdekt, actief wordt gebruikt, het bedrijf of team 7 dagen de tijd krijgt ipv de, anders, gebruikelijke 60 dagen.

Ik weet niet waar jij die 30 dagen vandaan haalt, maar volgens mij, en het Google team, moet dat 60 dagen zijn.

Bron: https://security.googlebl...-vulnerabilities.html?m=1
De vorige keer was het een maand geloof ik
Ik wist het ook niet zeker, had op dat moment ook geen zin om het bericht erbij te zoeken.
"Het is niet aan Google om Microsoft te vertellen hoe ze hun security moeten uitvoeren"

Die kan je natuurlijk ook omdraaien:
Het is niet aan Microsoft om Google te vertellen hoe ze hun security publicaties moeten uitvoeren
Dat creëert alleen een slecht precedent. Straks gaat MS dat ook bij Google doen.

Security heeft een goed vertrouwen nodig om te werken en op deze manier wordt -een deel van- dat vertrouwen geschaad.

Er kan gewoon een reden zijn dat de patch langer dan 10 dagen op zich laat wachten, en zo vreemd is dat niet. Niet elke exploit is even makkelijk op te lossen.

En als Google dit soort publicaties maakt, moeten ze dat wel consequent doen en niet "toevallig" alleen bij een concurent.
En dat terwijl Google zelf meer tijd kreeg om stagefright op te lossen.
Stagefright werd nog niet actief misbruikt. Er is gewoon een groot verschil tussen:

- Er is een mogelijk probleem met de design van de batterij die mogelijk in de toekomst brand kan veroorzaken
EN
- De batterij in deze telefoon is actief mensen, huizen en auto's aan het verbranden en het is wachten tot het gebeurt in een vliegtuig
Dit is niet de eerste keer dat Google zo'n geintje uithaalt met Microsoft. Dit is gewoon een stukje marketing ten koste van gebruikers. De vorige keer was het een maand geloof ik, nu 10 dagen? Straks dus 24 uur?
Waaruit maak je op dat het straks 24 uur is? Bron?
Het is niet aan Google om Microsoft te vertellen hoe ze hun security moeten uitvoeren, Google heeft een beroerde track record als het om security in hun software producten aankomt en ze hebben een stukje minder ervaring want MS is al heel wat langer bezig in de software markt.
Google vertelt ook helemaal niet hoe Microsoft haar security beleid moet uitvoeren, Google zegt alleen dat dit lek er is en dat er al misbruik van wordt gemaakt/
Als Microsoft nou een slecht update beleid had (Kuch, android, kuch) zou ik kunnen begrijpen dat je als security expert misschien een beetje wilt pushen zodat de boel gefixt wordt. Maar Microsoft heeft wat dat betreft een goede kijk op de zaak en is vrij vlot met het fixen van gaatjes.
Google heeft met Android zelf helemaal geen slecht update beleid, de fabrikanten van de toestellen zijn degenen die het verpesten.
[...]

Vanaf dat een lek gemeld wordt, gaat Microsoft monitoren of het lek misbruikt wordt. En Google denkt echt dat ze een beter inzicht hebben? Misschien ook wel gezien veel Chrome gebruikers de Windows telemetry e.d. (of privacy schendingen) uitschakeld... maar wel Chrome gebruiken :)
Windows komt op de meeste computers voorgeïnstalleerd, Chrome niet. Wat dat betreft is het iets makkelijker voor de meeste gebruikers om andere browsers te gebruiken dan om een heel ander besturingssysteem te gebruiken (er zijn genoeg mensen in mijn omgeving die niet eens weten dat dat kan). Je bent vrij om Chrome te deïnstalleren hoor, als je dat nog niet gedaan had.
Ik vind dit zelf tamelijk onbeschoft van Google. Google vindt dus Google doet. Naast dat dit gewoon een marketing campaigne is.
Google doet tenminste iets, een groot bedrijf zou voor zo'n lek binnen 10 dagen een update moeten uit kunnen brengen. Als ze dat niet doen, wanneer doen ze het dan wel? 1 maand, half jaar? Zeg het maar, maar ik heb dan liever dat ik weet hoe het zit dan dat ik over 6 maanden te horen krijg: 'Oh enneh, sorry dat we je een tijdje in gevaar hebben gehouden.'.
Google heeft met Android zelf helemaal geen slecht update beleid, de fabrikanten van de toestellen zijn degenen die het verpesten.
Google heeft deze situatie helemaal zelf gecreeerd en is er dus ook gewoon verantwoordelijk voor. Bovendien maakt het voor het eindresultaat natuurlijk geen bal uit.
Google doet tenminste iets, een groot bedrijf zou voor zo'n lek binnen 10 dagen een update moeten uit kunnen brengen. Als ze dat niet doen, wanneer doen ze het dan wel? 1 maand, half jaar? Zeg het maar, maar ik heb dan liever dat ik weet hoe het zit dan dat ik over 6 maanden te horen krijg: 'Oh enneh, sorry dat we je een tijdje in gevaar hebben gehouden.'.
90 dagen is de standaard voor disclosure, en 90 dagen is dus ook de termijn waarin verwacht wordt dat de update uitgerold is - zo niet, dan weet iedereen de details. Google wijkt daar wel vaker vanaf als ze een concurrent een hak kunnen zetten.

Bovendien patcht Google zelf ook regelmatig een lek niet binnen deze tijd, dus hypokriet is het ook nog eens.

[Reactie gewijzigd door BoomSmurf op 1 november 2016 09:35]

Als ze dat niet doen, wanneer doen ze het dan wel? 1 maand, half jaar?
Waaruit maak je op dat het straks 1 maand/half jaar is? Bron?
[...]


Waaruit maak je op dat het straks 1 maand/half jaar is? Bron?
Ik stel toch een vraag? Ik beweer helemaal niks, ik vraag me alleen af hoe lang het zal gaan duren, dus als jij het me kan vertellen dan graag, maar met bron natuurlijk :P
Waaruit maak je op dat het straks 24 uur is? Bron?
Een jaar geleden was het nog een maand, dit jaar nog maar 10 dagen. Als het elk jaar 75% korter wordt is het over 1.5 jaar al nog maar zo'n 24 uur.
Google vertelt ook helemaal niet hoe Microsoft haar security beleid moet uitvoeren, Google zegt alleen dat dit lek er is en dat er al misbruik van wordt gemaakt/
Op basis van wat? Microsoft monitored gemelde lekken gewoon zelf en zodra ze merken dat een lek misbruikt wordt, pushen ze patches eerder de deur uit. Wat ook wel eens gebeurd.
Google heeft met Android zelf helemaal geen slecht update beleid, de fabrikanten van de toestellen zijn degenen die het verpesten.
Dus ook maar tegen Lenovo of HP gaan zeiken dat hun Windows een veiligheidslek heeft? Want voor de meeste mensen is Windows ook maar een bijgeleverd product net zo goed als Android dat is. Maar bij de 1 ligt de schuld altijd bij de OEMs en bij de ander -wat er ook gebeurd- ligt de schuld altijd bij MS.... Vreemde redenatie.
Windows komt op de meeste computers voorgeïnstalleerd, Chrome niet. Wat dat betreft is het iets makkelijker voor de meeste gebruikers om andere browsers te gebruiken dan om een heel ander besturingssysteem te gebruiken (er zijn genoeg mensen in mijn omgeving die niet eens weten dat dat kan). Je bent vrij om Chrome te deïnstalleren hoor, als je dat nog niet gedaan had.
Ik gebruik Chrome niet, en mensen moeten het lekker zelf weten welke browser men gebruikt. Maar het ging mij om het hypocriete er van.
Google doet tenminste iets, een groot bedrijf zou voor zo'n lek binnen 10 dagen een update moeten uit kunnen brengen. Als ze dat niet doen, wanneer doen ze het dan wel? 1 maand, half jaar? Zeg het maar, maar ik heb dan liever dat ik weet hoe het zit dan dat ik over 6 maanden te horen krijg: 'Oh enneh, sorry dat we je een tijdje in gevaar hebben gehouden.'.
Want MS zit stil en doet niets? MS heeft een dusdanig slechte trackrecord betrekkende security patches dat ze wel even geforceerd moesten worden? Google heeft inzage in de interne processen bij Microsoft? Wie is Google om Microsoft de les te lezen over veiligheid en update beleid, vooral als ze zelf het voorbeeld zijn van hoe het niet moet.
Een jaar geleden was het nog een maand, dit jaar nog maar 10 dagen. Als het elk jaar 75% korter wordt is het over 1.5 jaar al nog maar zo'n 24 uur.
Prima toch? Als Google merkt dat zulke bugs steeds sneller gefixt worden door een steeds kortere publicatietermijn, mogen ze van mij 24 uur proberen.
Alleen kan dat door omstandigheden niet altijd en dan creëer je juist een veiligheids risico in plaats van dat je hem oplost.
Ja, soms zal het beleid inderdaad voor iets meer problemen zorgen. Maar als je alleen beleid uitvoert wat in 100% van de gevallen voor verbetering zorgt, wordt er nooit beleid uitgevoerd.
Maar MS pushed ook wel eens updates buiten hun normale patch beleid uit. Als het actief in het wild misbruikt wordt (en een kernel exploit wordt echt wel gemonitored door MS) dan zal MS z.s.m. een patch uitbrengen en dit forceren naar end-users.

Maar als MS goed de tijd kan gebruiken om de patch fatsoenlijk uit te brengen i.p.v. eventueel snel duct tape werk, dan heeft dat natuurlijk de voorkeur.

Er is geen enkele indicatie dat de kernel exploit zelf actief misbruikt werd, enkel de flash exploit in de browsers.
[...]


Een jaar geleden was het nog een maand, dit jaar nog maar 10 dagen. Als het elk jaar 75% korter wordt is het over 1.5 jaar al nog maar zo'n 24 uur.
Sorry, ik was niet op de hoogte van het feit dat deze veranderingen altijd lineair gaan, zal wel aan mij liggen.
[...]

Op basis van wat? Microsoft monitored gemelde lekken gewoon zelf en zodra ze merken dat een lek misbruikt wordt, pushen ze patches eerder de deur uit. Wat ook wel eens gebeurd.
Kennelijk heeft Google hier dan gemerkt dat het misbruikt werd en Microsoft nog niet, zou een beetje dom zijn om in het wilde weg moord en brand te roepen. Iets wat grotere bedrijven meestal niet zomaar doen.
[...]

Dus ook maar tegen Lenovo of HP gaan zeiken dat hun Windows een veiligheidslek heeft? Want voor de meeste mensen is Windows ook maar een bijgeleverd product net zo goed als Android dat is. Maar bij de 1 ligt de schuld altijd bij de OEMs en bij de ander -wat er ook gebeurd- ligt de schuld altijd bij MS.... Vreemde redenatie.
Heb jij een skin van Lenovo of HP dan? Of worden de updates door Lenovo of HP doorgepushed naar de gebruikers? Android is open source, Windows niet. Android mag dus door een fabrikant aangepast worden, dan zegt Google nog dingen zeggen als: 'Als jullie mijn store willen gebruiken, dan leveren jullie ook de andere diensten mee.' (of dit mag is op dit moment een vraag van de EU), maar over de updates hebben ze geen controle meer, Microsoft heeft daar wel van begin tot eind controle over.
[...]

Ik gebruik Chrome niet, en mensen moeten het lekker zelf weten welke browser men gebruikt. Maar het ging mij om het hypocriete er van.
Good for you.
[...]

Want MS zit stil en doet niets? MS heeft een dusdanig slechte trackrecord betrekkende security patches dat ze wel even geforceerd moesten worden? Google heeft inzage in de interne processen bij Microsoft? Wie is Google om Microsoft de les te lezen over veiligheid en update beleid, vooral als ze zelf het voorbeeld zijn van hoe het niet moet.
Voorbeeld zijn van hoe het niet moet?

Lijkt me toch dat het Microsoft moet lukken om het binnen 10 dagen te doen als het Adobe al binnen 5 dagen lukt voor een product dat eigenlijk al de nek om is gedraaid.
Sorry, ik was niet op de hoogte van het feit dat deze veranderingen altijd lineair gaan, zal wel aan mij liggen.
Het was dan ook geen feit, maar gewoon een -onzinnige beetje overdreven- conclusie op het verschil met de vorige keer dat Google dit deed.
Kennelijk heeft Google hier dan gemerkt dat het misbruikt werd en Microsoft nog niet, zou een beetje dom zijn om in het wilde weg moord en brand te roepen. Iets wat grotere bedrijven meestal niet zomaar doen.
Dan kan Google toch Microsoft informeren van "He de exploit wordt misbruikt", in plaats van op eigen houtje te besluiten "For the greater good".
Heb jij een skin van Lenovo of HP dan? Of worden de updates door Lenovo of HP doorgepushed naar de gebruikers? Android is open source, Windows niet. Android mag dus door een fabrikant aangepast worden, dan zegt Google nog dingen zeggen als: 'Als jullie mijn store willen gebruiken, dan leveren jullie ook de andere diensten mee.' (of dit mag is op dit moment een vraag van de EU), maar over de updates hebben ze geen controle meer, Microsoft heeft daar wel van begin tot eind controle over.
Skins zijn er niet omdat MS ten tijde van 9x al zei "Foei, nee OEMs, mag niet, afblijven". Maar wel hardware, drivers, software en weet ik het wat voor meuk. Dat bv Windows bekend (berucht) staat door het vele crashen en instabiliteit is bijvoorbeeld voor 90%+ te danken aan OEMs die er in de jaren 90 een potje van maakten en hun eigen gang gingen. (Schijt hebben aan de Win32API of driver APIs bijvoorbeeld en zelf een oplossing verzinnen, weinig anders als wat de Android OEMs uitspoken)

Linux is open source, mag aangepast worden door jan en alleman. Maar daar kunnen security patches wel centraal geregeld worden.
Good for you.
Ah je snapt duidelijk mijn punt niet, goed argument.
Lijkt me toch dat het Microsoft moet lukken om het binnen 10 dagen te doen als het Adobe al binnen 5 dagen lukt voor een product dat eigenlijk al de nek om is gedraaid.
Microsoft heeft met Windows ietsjes meer verantwoordelijkheid en een heel wat strengere quality control dan Adobe heeft met hun afgeschreven Flash. Daarnaast kan het zijn dat de update een herstart vereist bv en dan spaart MS dat soort patches -zolang ze niet in het wild gedeteceerd worden- liever op voor patch tuesday, laat daar nu zo'n 30 dagen tussen zitten.

[Reactie gewijzigd door batjes op 1 november 2016 09:11]

[...]

Dan kan Google toch Microsoft informeren van "He de exploit wordt misbruikt", in plaats van op eigen houtje te besluiten "For the greater good".
Als Google dat niet direct heeft gedaan dan was dat niet zo netjes van ze, ik heb echter geen inzicht in hoe die communicatie is verlopen en denk dat ze direct hebben gemeld dat het misbruikt werd. Google heeft er niks aan als er meer partijen in bezit komen van gebruikersinformatie, dus ook zij zullen wel willen dat dit snel gefixt wordt.
[...]

Ah je snapt duidelijk mijn punt niet, goed argument.
Ik bedoel hier alleen maar mee te zeggen dat er niks mis is met het wel of niet gebruiken van Chrome, toegegeven, een onzinnige reactie, maar doen we dat allemaal wel niet eens? ;)
Als Google dat niet direct heeft gedaan dan was dat niet zo netjes van ze, ik heb echter geen inzicht in hoe die communicatie is verlopen en denk dat ze direct hebben gemeld dat het misbruikt werd. Google heeft er niks aan als er meer partijen in bezit komen van gebruikersinformatie, dus ook zij zullen wel willen dat dit snel gefixt wordt.
Ik weet de correspondentie tussen die 2 ook niet, maar als ik van dit artikel uitga, plus hoe het de vorige keer ging. Ga ik er simpelweg van uit dat Google het gewoon op eigen houtje besloten heeft. Mocht Google MS wel op de hoogte hebben gebracht van het actieve misbruik, maakt het het geheel wel wat minder erg, maar het blijft niet netjes. Het is gewoon niet aan Google om Microsoft te vertellen hoe ze met hun OS om moeten gaan, hoe kritiek het lek ook is, net zo goed als dat Microsoft gewoon niets te zeggen heeft over hoe Google met Android omgaat.
Ik bedoel hier alleen maar mee te zeggen dat er niks mis is met het wel of niet gebruiken van Chrome, toegegeven, een onzinnige reactie, maar doen we dat allemaal wel niet eens?
Heh, het ging mij enkel om het hypocriete, niet om mijn mening van Chrome rond te strooien :P Beide phonen van alles home, het is aan ieder voor zich of je Google, MS of wie dan ook vertrouwd. Verder vertrouw ik Google eigenlijk best wel als het om je data en het beschermen daarvan aankomt, het is het bedrijf zelf waar ik het op veel fronten gewoon niet mee eens ben en ik dus Google's producten liever vermijdt. (ik gebruik bv gewoon de search of youtube -heb ook gewoon een google account en ben daar doorgaans ook mee ingelogd-)

En tja, ik kan niets zeggen over het maken van onzinnige opmerkingen want die maak ik ook nog veelste regelmatig :P
Het is gewoon niet aan Google om Microsoft te vertellen hoe ze met hun OS om moeten gaan, hoe kritiek het lek ook is, net zo goed als dat Microsoft gewoon niets te zeggen heeft over hoe Google met Android omgaat.
Google bepaalt ook niet hoe MS met Windows omgaat. Tegelijkertijd is het niet aan Microsoft om te bepalen welke informatie wel en niet gepubliceerd wordt. Persvrijheid heet dat. De druk die van deze persvrijheid uitgaat helpt wel degelijk om meer bugs te fixen, en dat sneller te doen, zoals persvrijheid dat eigenlijk overal doet waar fouten in een beleid of uitvoering daarvan worden ontdekt. Daarom wordt die persvrijheid in veel 'westerse' landen zo goed beschermd.
Het lek werd al misbruikt, dus de werking erachter was wel degelijk bekend. En je zegt dat het lek voor nu gedicht is, tegelijk zeg je dat publicatie voor 400 miljoen potentiele slachtoffers zorgt. Ik weet niet wat voor band je met MS hebt, maar je maakt steeds vreemdere bewegingen om MS in dit geval te verdedigen. Je draait jezelf vanzelf een keer vast...
In Chrome werd het misbruikt, dat is wat Google zelf beweerd. Er is geen enkele indicatie -van Google uit- dat de losse kernel exploit ook in het wild gespot is, enkel dat het via de browser(s) gebeurd. Om die kernel exploit zelf te misbruiken moet je eerst weer toegang zien te krijgen tot het systeem.

Het lek is Privilege Escalation via de browser, dat is dicht. Dit lek bestaat uit 2 exploits, zoals doorgaans veel lekken gebruik maken van meerdere exploits.

En er zullen vast wel andere exploits in het wild zijn om tot Windows binnen te dringen vanaf het internet, of malware/toolbars wat nu al geinstalleerd staat etc. Die kunnen nu in 1 keer ook allemaal dit trucje. Terwijl dat hiervoor -eventueel- maar bij een enkeling bekend was. Google heeft in 1 klap van een klein risico een groot risico gemaakt. Het helpt natuurlijk ook niet dat Google hackers helpt gerichter te zoeken naar het overnemen van het OS, terwijl MS dit misschien zonder problemen gewoon via de volgende patch tuesday kon uitrollen. Nu is de kans veel groter dat men die kernel exploit in het wild weer weet te misbruiken en dan mag Microsoft ons dwars gaan zitten met -nog- een reboot want gezien dit op kernel niveau is zal het geen live patch worden.

Elke "kritieke" exploit (ik laat die inschatting liever aan MS over als het op Windows aankomt, dan Google) patch maar pushen naar end-users wordt men ook niet vrolijk van.

Het meest kritieke aan dit lek was dat het voor elkaar te krijgen was via een website.
En er zullen vast wel andere exploits in het wild zijn om tot Windows binnen te dringen vanaf het internet, of malware/toolbars wat nu al geinstalleerd staat etc. Die kunnen nu in 1 keer ook allemaal dit trucje. Terwijl dat hiervoor -eventueel- maar bij een enkeling bekend was. Google heeft in 1 klap van een klein risico een groot risico gemaakt.
"eventueel"... Je doet net alsof misbruikers alleen naar Google's publicaties kijken voor mogelijke exploits, en onderling geen informatie uitwisselen. Ben je echt zo naïef? Dat grote risico was er al, daar verandert publicatie niks aan. Maar nu weten de eindgebruikers ook dat dat risico er is, en dat de patch van MS op zich laat wachten.
Elke "kritieke" exploit (ik laat die inschatting liever aan MS over als het op Windows aankomt, dan Google)
Ah, jij ziet graag dat iedere slager z'n eigen vlees keurt? Nee, dank je.
"eventueel"... Je doet net alsof misbruikers alleen naar Google's publicaties kijken voor mogelijke exploits, en onderling geen informatie uitwisselen. Ben je echt zo naïef? Dat grote risico was er al, daar verandert publicatie niks aan. Maar nu weten de eindgebruikers ook dat dat risico er is, en dat de patch van MS op zich laat wachten.
Nee maar als het in de hackers kringen al gepubliceerd zou zijn, zou het misbruik ook al buiten de browsers gedetecteerd zijn. En ik zie daar nog geen enkele aanleiding toe.
Ah, jij ziet graag dat iedere slager z'n eigen vlees keurt? Nee, dank je.
Het is inderdaad een beetje "wij van wc eend", maar de laatste jaren neemt MS security erg serieus en gaat er goed mee om. Microsoft heeft veruit van wie dan ook in de wereld, het beste inzicht in het gebruik en misbruik op Windows. En niet zoals Google die alleen misbruik tegen komt in hun eigen browser Chrome en op basis daarop maar concludeerd dat het OS open en bloot aan het internet hangt en MS daarvoor geen patch heeft uitgebracht. (Edge/IE zijn ondertussen al gepatched)

Er is geen aanleiding om er vanuit te gaan dat Microsoft hier in dit geval een slechte judgement call heeft gemaakt. Het ergste gevaar is nu voorkomen en het is beter op een rustige manier de boel te fixen en dat uit te brengen. Dan maar gehaast een fix in elkaar plakken en dit half getest naar end users te pushen. (In dat geval is er ook nog eens een risico dat je meerdere nieuwe exploits creëert :) )

10 dagen van melding naar fix is niets, steld weinig voor. Ik weet zo de details niet, maar zulke kernel exploits kunnen nog wel eens drastische gevolgen hebben voor de achterliggende werking. Zo heel makkelijk is het niet altijd om maar exploits te fixen, daar kan echt een boel werk in zitten. Een paar jaar geleden voor Windows 7 was er ook zo'n exploit. Om dat de fixen hebben ze een deel van de werking van NT mogen aanpassen. Dat is echt niet binnen 10 dagen gedaan of uberhaupt gecontroleerd op kwaliteit en stabiliteit. De tijd die dan nodig is om het op te lossen staat dan vast, het heeft dan absoluut geen zin om als 3rde partij die informatie naar buiten te gooien.

[Reactie gewijzigd door batjes op 1 november 2016 14:46]

Ach, het is over en weer met modder gooien. Microsoft kan er ook wat van :

http://cdn.ghacks.net/wp-...tch-to-microsoft-edge.png
Niet alleen heeft dat niks met beveiliging te maken, maar de afgelopen weken heeft Google zelf ook toegegeven dat de situatie met Chrome slecht was.
Ach, reclame van Microsoft vergeten tegen Chromebooks (Google), of Bing, of .... ? Waar ze met een snijdent toontje over chromebooks ook nog eens opmerkten dat het toch niet zo veilig was aangezien google 'jouw gegevens verkoopt' ...

Ze zijn geen al te beste vrienden, en aangezien we al lang geen echte concurrentie meer hebben kan ik zo'n gevechten enkel toejuichen. Daar worden we allemaal beter van... Overigens hoe lang heeft Microsoft niet de klootzak uitgehangen met hun market share in IE ? Times change. Nu is het tijd om van goog$e te spreken :)
> Het lek zou actief worden gebruikt door kwaadwillenden.

Als het al actief gebruikt wordt zou men niet veel meer risico lopen door de publicatie.
Men zal niet direct in een huis inbreken omdat de deur niet op slot is, zolang de deur maar toe blijkt te zijn.

Er zullen enkelen zijn die proberen de deur te openen, en het zijn deze die misbruik kunnen maken van de situatie.

Als men duidelijk gaat zitten verkondigen "deze deur is niet op slot" dan ga je natuurlijk veel meer potentieel kwaadwilligen krijgen die anders niet zouden "geprobeerd" hebben.
Aan de andere kant roept Google nu ook tegen de eigenaren van de deur: "Hey, je deur staat niet op slot!", zodat gebruikers stappen kunnen ondernemen en bewust zijn van het feit dat de deur open staat. Wel zo handig als je weet dat er op dat moment inbrekers actief zijn in de buurt ;)
Geeft enkel maar stress als je weet dat de slotenmaker pas volgende week een nieuw slot kan komen steken ;)

Punt is dat de gewone gebruiker er weinig tegen kan doen tegen dit issue (los van 'up to date' zijn), en dat je op deze manier vooral de 'kwaadwilligen' helpt.
Geeft enkel maar stress als je weet dat de slotenmaker pas volgende week een nieuw slot kan komen steken ;)
Het slot is er wel al:
Bronnen melden aan Venture Beat dat de Windows-kwetsbaarheid alleen te gebruiken is in combinatie met het lek in Flash.
Flash is wel gepatched, dus als je die installeert zit het slot gewoon op de deur :)
Heerlijke over versimpeling. Zie het dan als een flatgebouw. Bij jouw appartement werkt het slot niet meer naar behoren. Maar het slot op de deur van het complex (die eerst ook niet werkte) is nu weer gefixed. Dus zolang je lieftallige buurvrouw (andere app developers) geen ongenodigde gasten binnen laat ben je veilig. Een concurrent die ook graag met die lieftallige buurvrouw uit wil, heeft in ieder geval een prachtige advertentie opgehangen in de stad waarbij vermeldt staat dat jouw slot niet werkt, met je naam en adres er bij. Zelf heeft die natuurlijk alles perfect op orde.
Ik denk dat ik t wel met je eens ben.
offtopic
Van een ding kunnen we wel zeker zijn: tweakers kunnen geen goede analogieën bedenken. Heerlijk hoe we van een simpele stelling van één regel stap voor stap naar een heel verhaal gaan dat recht doet aan alle nuances maar dat zo bizar is dat het originele verhaal duidelijker is.
Het is alleen jammer dat het doel van de analogie, het in een bekendere context plaatsen van een situatie zodat het beter te begrijpen is, hierdoor een beetje verloren gaat. :)
/offtopic

Ik snap dat een kwetsbaarheid die actief gebruikt wordt een andere publicatieduur heeft als een onbekend lek. Maar 7 dagen is voor een complex product als een OS echt te kort zeker als het probleem in de kern(el) van het product zit. Het daadwerkelijk fixen van het probleem is dan misschien maar een uurtje werk maar ik kan me bijna niet voorstellen dat je in een werkweek ook nog kan verifiëren dat het gefixed is en dat de fix geen enkel ander onderdeel van het os of bonafide programma van 3e partijen beïnvloed (ookal gaat er natuurlijk een hoop geautomatiseerd).

Ik denk dus ook dat google hier wel wat andere motieven als de veiligheid van de gebruiker laat prevaleren. Zeker omdat het actieve gebruik van t lek nu gestopt is door de patch van Abobe.

[Reactie gewijzigd door jmzeeman op 1 november 2016 09:26]

En zo geven tweakers dus complimenten ;)
Flash is in deze analogie het tuinhekje - er zijn meer manieren om bij de voordeur te komen. Die "bronnen" beperken zich to web-based attacks. Op zich logisch voor een issue dat bij chrome vandaan komt, maar web-based attacks zijn niet de enige.

Ieder proces dat code kan uitvoeren, kan nu local admin worden op een windows machine. Binnen chrome is Flash de enige die dat soort code kan uitvoeren, maar op desktops kan bijna iedere gebruiker dat, zonder een UAC venstertje te triggeren.
Welke stap kan je zetten dan als gebruiker? Internet uitschakelen?
Juist, de gebruiker kan hier helemaal niks mee.. kwaadwillende weer wel.
Precies. Dan is het dus veel veiliger om nu te publiceren omdat mensen zich dan kunnen wapenen door flash te updaten, dan dat Google nog eens 3 maanden gaat wachten tot Microsoft een keer over de brug komt met een patch. ;) Mensen zijn sneller geneigd te updaten als ze op verschillende plekken horen over een groot lek en hoe je dit kan oplossen.

Google heeft hier gewoon de juiste keuze gemaakt, zeker omdat Adobe een patch heeft uitgebracht.

[Reactie gewijzigd door WhatsappHack op 1 november 2016 07:44]

Google had ook kunnen vertellen dat er een lek in Windows zit wat in combinatie met een lek in Flash misbruikt kan worden zonder de details te publiceren. Dan kunnen mensen ook zich wapenen door Flash te updaten en dan wachten totdat MS het lek op hun eigen tempo fixen. Je wil natuurlijk niet dat MS (te) snel een fix uitbrengt die meer kapot maakt.

Google heeft dus niet de juiste keus gemaakt.
Dat ligt er natuurlijk aan hoe actief het misbruikt wordt. Zijn er nu 1-2 groepen die het misbruiken, dan loop je wel zeker meer risico wanneer ze maar direct de hele wereld uitleggen hoe je het kan misbruiken.
Volgens het artikel wordt helemaal niet uitgelegd hoe je het kan misbruiken..
Zeker wel want er zullen na publicatie meer exploits en tools om dit te misbruiken komen. Het risico loopt hierdoor op.
Maar MS zal hierdoor ook sneller moeten reageren waardoor het risico misschien tijdelijk hoger wordt, maar juist sneller afneemt :)

Anyway, gewoon Flash patchen, dan is het lek voor nu onbruikbaar, hoewel dat lek op meerdere manieren te gebruiken zal zijn, is er dus haast geboden van MS, vandaar dat er nu druk op de ketel staat.

[Reactie gewijzigd door watercoolertje op 1 november 2016 08:35]

Inderdaad. Het lijkt dat wat mensen hier daar naast zien.

Het lek werdt al misbruikt, dus dan is snelle publicatie bijna verplicht in mijn ogen.
Verplicht? Er is niks verplicht en zeker niet voor Google, die er totaal geen baat bij heeft. Is gewoon weer een typische anti-MS stunt van Google. Net zoals de YouTube app voor Windows Phone, waar ze plots vreemde eisen aan stellen die niet voor andere platformen gelden. Zou eigenlijk wel eens eens tunt van MS zien zitten die Google Chrome blokkeert op Windows... Het overgrote memerendeel van de Windows gebruikers zal toch niet overstappen naar alternatieve en Google krijgt een serieuze koek van eigen deeg, dat rotbedrijf in mijn ogen...
Het gaat hier dan ook niet over welk bedrijf tegen welk bedrijf stoten uithaald, maar juist over de exploit zelf. En over het feit dat deze al misbriukt werd en dus een 0day was.
In het dark net staan tal van recepten om gevaarlijke bommen te maken. Ik zal Google even vragen om deze ook te publiceren op het open internet? Is toch hetzelfde effect? ;)

Brengt gebruikers onnodig in gevaar en wordt al actief misbruikt in het crimineel milieu, dus waarom nog wachten om het publiek beschikbaar te maken ? :)

Nee, Google doet hier naar mijn mening iets serieus strafbaars en dit is uiteraard een mooi gegeven dat dit net tegen MS gericht is... Ik moet Google niet, zeker na zo'n actie alweer niet.
Door het publiceren van kwetsbaarheden worden ze sneller gefixt. MS vindt dit niet leuk, maar dat is nou precies de bedoeling; MS wordt onder druk gezet om de bug sneller te patchen.
Welk bedrijf wordt er volgens jou onder druk gezet om het maken van zo'n bom niet meer mogelijk te maken, als het recept gepubliceerd wordt? Waar zit de 'kwetsbaarheid', en is er een bedrijf dat die kwetsbaarheid kan 'patchen'?

Zoals altijd laat het gebruik van een analogie juist de zwakte van een standpunt zien. Als je je standpunt niet zonder analogie kunt verdedigen, kan je het net zo goed helemaal niet verdedigen.
Ik begrijp het standpunt helemaal, maar Microsoft doet heus zijn best om dat tijdig op te lossen. Het moet ook goed getest worden en dergelijke. Nee, Google verkiest een patchperiode zonder testmogelijkheden? Zij bepalen de periode, is dat normaal? Blijft strafbaar voor mij.
Niet akkoord. Als er 1 groep is die het misbruikt is de kans op besmetting nog altijd een heel stuk kleiner dan wanneer men het nieuws wereldkundig maakt en iedereen het kan gaan misbruiken.
tja, het kan best al actief gebruikt worden, maar mogelijk maar door een kleine groep, nu door publicatie komen daar ook nog al die domme scriptkiddies bij...
Windows heeft een redelijk grote install base. Een patch oplossen kan, afhankelijk van de complexiteit redelijk wat tijd in beslag nemen. Nog maar te zwijgen over de tests, voornamelijk compatibility test want voor je het weet maak je miljoenen computers onbruikbaar.
Adobe kan het binnen vijf dagen oplossen. MS niet in tien dagen.

MS heeft gewoon een lange geschiedenis van langzaam omgaan met beveiligings-problemen. Deze bug wordt al misbruikt, dan is "geheim houden" geen optie meer maar moeten gebruikers gewaarschuwd worden zodat ze zelf actie kunnen ondernemen.

Het is in het verleden vaak genoeg gebeurt dat MS problemen maanden laat liggen na een waarschuwing. Tijd om ze eens het vuur aan de schenen te leggen.
Er zit ook wel een ernstig verschil in grootte tussen de codebase van Flash en van Windows.
Denk je dat Adobe het in alle mogelijke combinaties heeft getest? Microsoft doet dat wel.

Geheimhouden is nog wel een optie, publiek bekend maken heeft vaak het effect dat het ineens veel erger wordt, terwijl Microsoft niet veel sneller kan.
Dat zou google als geen ander moeten weten sinds Stagefright (welke explosief steeg na bekendmaking in begin augustus, terwijl google er al van af wist sinds april dat jaar)
> Het lek zou actief worden gebruikt door kwaadwillenden.

Maar geheim houden is een optie. 8)7

Nu kunnen gebruikers zelf actie ondernemen om problemen te voorkomen. Bij geheimhouding niet.

Zodra een exploit gebruikt wordt is de kat uit de zak en kun je die er niet meer in stoppen.
hoe ga je hier als gebruiker aktie op ondernemen dan??
ik zou niet weten hoe ik iets kan oplossen waar microsoft tijd voor nodig heeft om te bouwen en te testen?
Flash verwijderen?
Probleem is dat je het vuur aan de schenen van de gebruikers legt, met als effect dat microsoft natuurlijk ook geaffecteerd is ('slechte reclame').
Adobe kan het binnen vijf dagen oplossen. MS niet in tien dagen.
Adobe hoeft het enkel op te lossen in een plugin. Microsoft in een compleet besturingssysteem. Compleet andere soort ontwikkeling dus. Appels en peren.
Flash is een programma, Windows een OS.
En dat geeft net iets meer risico met je patch uitbrengen. Het risico dat je bij een paar miljoen gebruikers flash voor enkele dagen de nek om draait kan je nog wel lopen. Het risico dat je bij een paar miljoen gebruikers windows de nek om draait daarentegen.
Adobe Flash is dan ook een heel erg klein programma vergeleken met een OS en Adobe hoeft alleen maar het platform Windows te targetten, terwijl Windows zelf niet altijd gebruik kan maken van die hardware abstractie. Verder is het zo dat een patch die iets anders stuk maakt in Flash niet zo destructief is als een patch die iets stuk maakt in een OS. Als laatste draait er op veel minder computers Flash dan Windows.
Maar flash is dan ook geen OS waar een hoop bestaande software op draait, en hoeft dan ook niet zo uitvoerig getest te worden (of het interesseert ze werkelijk geen ruk als het bestaande installaties verpest).
En hun lange patch-voorbereid-periode verandert daar weinig aan. MS heeft al meerdere keren patches vrijgegeven die inderdaad duizenden computers onbruikbaar maken. Boot-loops, verkeerde drivers gepusht, dat soort ongein.

Blijkbaar helpt het dus niet. Laat ze dan bij ernstige lekken maar gewoon zo snel mogelijk de meest obvious patch de deur uit doen, ze kunnen altijd later nog een revisie de deur uit doen zoals ze vaker gedaan hebben.

[Reactie gewijzigd door MadEgg op 1 november 2016 11:41]

tja, je bedoelt dan dat het bij NOG MEER mensen fout gaat.....
Nee, Windows vormt het risico. Microsoft: don't shoot the messenger.
Nee, er was amper een risico voordat Google dit met alle nodige details voor iedereen publiekelijk op straat gooide en dit openstelde voor iedere kwaadwillende in plaats van de waarschijnlijk beperkte groep die er tot nu toe vanaf wist. 10 dagen is een belachelijk kort termijn en het is niet de eerste keer dat Google dit soort dingen uithaalt. Eerder gooide ze ook al een lek open op straat met exploit en al, wetende dat een patch twee dagen er na zou worden uitgestuurd. Dat is gewoon kinderachtig. Een vast termijn instellen voor iedere soort software is belachelijk en als ze dat dan toch willen doen, dat ze dat dan eerst eens doen met hun eigen software. Wees maar gerust dat Google zat van lekken heeft die al misbruikt worden in hun eigen software die ze niet op straat hebben gegooid.
Eerder gooide ze ook al een lek open op straat met exploit en al, wetende dat een patch twee dagen er na zou worden uitgestuurd. Dat is gewoon kinderachtig.
Dus omdat er een patch uitkomt moet je dan maar een lek onder de pet houden? Brrr...
Het feit dat er lekken zijn die Google weet te vinden zegt al genoeg. Tuurlijk, geen enkel systeem is perfect, maar zo imperfect als ze het in Redmond maken kom je (gelukkig!) weinig tegen.

Als Google al details weet te vinden over security lekken en de exploits kun je er gif op innemen dat iederéén ze kan vinden en misbruiken, óók voordat Google er aandacht aan besteed.
dan hadden ze dus 10dagen om het te fixen :+ :Y) best acceptable termijn imho. In (linux)hippie land zien we vaak al patches voor 0day kwetsbaarheden binnen 12-24u. Daarnaast Flash [..] :F

[Reactie gewijzigd door himlims_ op 1 november 2016 07:30]

Een fix kan inderdaad snel gemaakt zijn, alleen je wil voor de release van de fix zeker weten dat niks anders is omgevallen. Die impact en risico analyse moet eerst worden gedaan, dan moet de fix worden uitgevoerd en daarna moet er worden getest, en moet het mee in een hotfix release.

10 dagen is dan erg kort.... en vind het ook een dickmove van Google

[Reactie gewijzigd door Sinraed op 1 november 2016 07:39]

Het is toch niet Googles probleem dat Microsoft een patch niet op tijd kan uitrollen?
Het is een potentieel probleem voor de "gewone" gebruiker ja. Men mag dan ook rekening houden met de mogelijke impact vind ik.

Nog eens, wie bepaald dat 10 dagen een redelijk termijn is? Wat als ze het aanpassen naar 2 dagen, of 1 dag? Nog steeds redelijk?
Nog eens, wie bepaald dat 10 dagen een redelijk termijn is? Wat als ze het aanpassen naar 2 dagen, of 1 dag? Nog steeds redelijk?
Tja wat redelijk is is nogal lastig, de ene zal zeggen een jaar de andere 10 dagen. En beide kunnen ze gelijk hebben. Redelijkheid is toch een persoonlijke opvatting van iets :)
Ik snap niet dat MS en Google hier niet over kunnen communiceren. Als MS bezig is met een patch dan lijkt het me courant om nog even te wachten met publicatie. Publicatie is een extreem middel, je zet veel druk maar je geeft veel virusschrijvers de kans om het lek te gebruiken, nog jaren zelfs op machines die niet gepatched worden.

Als je een codebase zo groot als Windows hebt dat draait op zoveel verschillende hardware als Windows dan krijg je niet alles door QA binnen 10 dagen. En dan ga je er van uit dat de patch meteen de hoogste prioriteit kreeg en makkelijk op te lossen was.

Man ik ben in de codebase van mijn werk wel eens langer bezig geweest om de bug op te lossen.
Vergeet niet dat die 10 dagen geldt voor kwetsbaarheden die al misbruikt worden. Virusschrijvers kennen het lek dus al. Als een lek nog niet misbruikt wordt, hanteert Google een termijn van 60 dagen.
Ik snap niet dat MS en Google hier niet over kunnen communiceren. Als MS bezig is met een patch dan lijkt het me courant om nog even te wachten met publicatie.

Dat kan Google wel, maar doet ze bewust niet. Men heeft ook al eens lekken op een feestdag bekend gemaakt, en houdt ook geen rekening met de alom bekende Patch Tuesday tijdsduur. Star vasthouden aan arbitraire nummers betreft het aantal dagen is het devies.

Immers vergeet niet dat Google Zero day enkel zero days bevat die niet van Alphabet dochters zijn. Lekken die je aan Google meldt betreft eigen en zuster-bedrijf producten worden geheel niet gemeld en zijn niet gebonden aan enige termijn - laat staan iets als 10 dagen.

Regels voor anderen, uitzonderingen voor jezelf.

De wereld is niet zwart-wit, maar Google Zero day is ook een instrument tégen je concurenten, en Google weet dat donders goed.
Het is redelijk dat het expliciet aan de maker van de software wordt aangegeven.

wat mij betreft gaan alle meldingen direct public, met een cc aan de softwarebouwer.
Zero day zegt niet zoveel over de ernst van het lek, het geeft alleen aan dat het een lek is wat nog maar net bekend is. Ik geloof best dat er voor ernstige lekken een snelle patch is op Linux, maar voor zo'n groot product als Windows vind ik 10 dagen vrij weinig. Ik kan het zo een, twee, drie niet terug vinden maar volgens mij is dit niet de eerste keer. Het lijkt erop dat Goog bewust Windows gebruikers in gevaar brengt door de lekken zo snel te publiceren.
Nee, Google brengt Windowsgebruikers bewust op de hoogte van een lek wat al misbruikt wordt.
Sorry hoor, maar een fatsoenlijke patch kun je niet in zo'n korte tijd goed getest hebben mbt compatabiliteit etc. Och en sommige lekken in Linux zitten er al jaren in terwijl ze dit wisten en er niets aan gedaan hadden..
Ik heb liever dat ze zulke patches ook goed doortesten ipv ff fixen en publishen zonder te weten of dit geen gevolgen heeft voor bestaande software..
Want elke patch is binnen 24 uur geregeld in Linux? Week geleden nog nieuws bericht over een kritiek lek wat 9 jaar geleden gemeld was en pas dit jaar eindelijk gefixt werd.
Week geleden nog nieuws bericht over een kritiek lek wat 9 jaar geleden gemeld was en pas dit jaar eindelijk gefixt werd.
Klop, klepel...

Dat was een kwetsbaarheid die wel bekend was, maar een manier om het te misbruiken ontbrak. Dat is pas sinds kort bekend, waardoor de kwetsbaarheid werd opgelost (op zeer korte termijn).

Een probleem van kwetsbaarheden oplossen is dat het backwards compatibility kan breken. Als een kwetsbaarheid niet misbruikt kan worden en het oplossen ervan drastische wijzigingen kan brengen, dan kan worden besloten om de kwetsbaarheid in de gaten te houden en niet meteen op te lossen. Vanaf bekendmaking kan je langzaamaan de afhankelijkheid van de kwetsbaarheid uitfaseren.

Van informatiebeveiliging wordt vaak gezegd dat het rust op confidentialiteit, integriteit en beschikbaarheid. Die laatste wordt wel eens vergeten, maar is net zo belangrijk. ;)
De manier van misbruik maken ontbreekt nu ook nu flash is gepatched. Dus waarom moet MS dan nu haast maken? Omdat er een nieuwe manier van misbruik gevonden kan worden? Dat gelde voor het lek in Linux ook he...
Omdat het lek ook met local access misbruikt kan worden?
De patch in flash maakt alleen (voor nu!) remote misbruik onmogelijk.
Als je door een andere bug al binnen ben, kan je dus hiermee simpelweg admin worden en de hele machine overnemen.
De manier van misbruik maken ontbreekt nu ook nu flash is gepatched. Dus waarom moet MS dan nu haast maken? Omdat er een nieuwe manier van misbruik gevonden kan worden? Dat gelde voor het lek in Linux ook he...
De kwetsbaarheden staan los van elkaar. Daarnaast meld Microsoft zelf dat er wel degelijk misbruik van gemaakt wordt.
Maar het feit dat die kwetsbaarheid er 9 jaar heeft kunnen zitten is mij wel degelijk een doorn in het oog. Dat je het niet snel oplost, daar kan ik inkomen. Maar dat gedurende 9 jaar vele mensen die bug hebben gezien en nooit iemand de moeite heeft genomen om deze te fixen is voor mij onaanvaardbaar.
Dat is het verschil... iemand die een MS OS gebruikt kan best heel goed kritiek hebben op een ander syateem, b.v. Linux, maar wel degelijk ook op zijn "eigen"MS OS.
Kijk, dat kan bij Linux bijna niet, je mag op alles en iedereen kritiek hebben, maar niet op het "eigen" OS, that's not done!
Dit jaar wederom gefixed werd. Het probleem was al eens gepatched maar gaf problemen, dus is teruggedraaid. Daarna is het vergeten en heeft niemand er verder ook naar omgekeken omdat een klein groepje maar van 't bestaan afwist - totdat t recent door een groepje "herontdekt" werd in bepaalde versies, en t ook meteen binnen een dag of twee gepatched is...

Vind ik toch een nuance verschilletje met die 9 jaar.
Idd, dus je omschrijft exact waarom MS eerst een patch goed wil testen. Want dan hoeven ze het later niet helemaal opnieuw te doen.
en daarom brengt microsoft ook periodiek patches en updates voor updates uit :F
Dit dus, en wat MS ook heeft in tegenstelling tot Linux, is erg dure contracten met een boel partijen voor het leveren van stabiele software. Slechte kwaliteitscontrole gaat een boel meer schade opleveren dan een security patch een week later uitbrengen.
Dat is geen nuance maar een aanvulling dat het nog slechter gesteld is met het update beleid van Linux dan batjes schetste. Dat een fix ontwikkelen lang kan duren is één maar vergeten dat je nog een fix moest maken is nog erger.
Behalve dan dat het gezien werd als preventie (voorkomen is beter dan genezen), omdat het misschien een lek was. Dat dit klopt wordt enkel aangetoond door het feit dat er 9 jaar later, en mede door andere recente wijzigingen, pas daadwerkelijk een bruikbaar lek is ontstaan. Technisch gezien is de kwetsbaarheid haast nieuw te noemen. ;)
Er zijn ook lekken van 15+ jaar bekend van Microsoft. Geef mij dan maar Linux.
Ja maar Linux (hippie) land bestaat uit vele vrijwilligers en Microsoft Is een groot bedrijf met alle logistieke en bureaucratische rompslomp erbij. Je kunt niet verwachten dat ze zomaar dagelijks een dikke update kunnen pushen. Ik wordt nu al gek van al dat (verplichte) reboot na updates op Windows 10, laat staan dat ze dan nog meer updates staan pushen. Het ergste vind ik nog dat als je even weg bent en je pc staat aan dat hij zelf beslist om te rebooten. Lekker daar gaan al je documenten die open stonden...

Het is dat ik min of meer geen keuze heb om Linux te gebruiken vanwege bepaalde software die niet werken onder wine of performance loss met een Vm. Bij Ubuntu kan je zelfs kernel patchen zonder reboot. http://news.softpedia.com...to-three-pcs-509417.shtml
Lekker daar gaan al je documenten die open stonden...
Een beetje office programma of text verwerker doet aan autosaving. Tevens gaat er net als bij linux een broadcast shutdown message het OS door waar software op kan reageren.
Bij Ubuntu kan je zelfs kernel patchen zonder reboot. http://news.softpedia.com...to-three-pcs-509417.shtml
Ten tijde van Windows Vista/7 was er een MSDN blog (ik kan het echt niet terug vinden) over een intern project dat ze hetzelfde beleid konden toepassen op NT. Maar hier is om verscheidene redenen niet voor gekozen. Geen enkel systeem is belangrijk genoeg dat het nooit herstart kan worden en als dat wel het geval is, heb je ergens in het ontwerp verkeerde keuzes gemaakt. Die laatste promille in het verbeteren van de stabiliteit is de moeilijkste, en je gaat natuurlijk geen risico toevoegen in ruil voor een beetje gemakzucht.

Live patchen van de kernel is leuk, maar handles naar security exploits kunnen open blijven staan. Alhoewel het sluiten van die handles wel te forceren is, maar dat schopt een deuk in je stabiliteit. Liever heb je natuurlijk dat een hacker op je up to date software kan inbreken omdat Apache net een handle van een geupdate lib gebruikt waar een exploit in zat en die handle is 2 maanden open blijven staan omdat je de bende nooit herstart "want: niet nodig". "Sorry dat al uw credit card data is gestolen, excuses hiervoor, ons IT team vond herstarten van de servers onzinnig".

Uiteindelijk moet je toch de hele bende herladen waardoor je net zo goed gewoon een herstart kan uitvoeren.

[Reactie gewijzigd door batjes op 1 november 2016 08:18]

Ik zeg niet dat ik tegen rebooten ben, alleen vind ik 1x in de maand wel genoeg maximaal 2x in de maand. En al helemaal niet fijn als Ms zelf beslist om het te rebooten omdat ik even weg ben. Jah er zal misschien wel een pop up komen dat die gaat rebooten, met een timer, terwijl ik expliciet heb aangegeven dat die niet zomaar mag rebooten.

Dus dan sta je daar wachtend op je pc totdat die opstart aangezien de Update proces ook wat tijd in beslag neemt.

Als ik update dan het liefst wanneer het mij uitkomt. Je zou het toch ook niet fijn vinden wanneer je bezig bent met een belangrijke project en je al in tijdnood bent dat je pc ineens reboot?

Al helemaal niet aangezien ik expliciet auto update heb uitgezet en nog nagekeken of het zo was. En daar stond die nog op, maar Ms denkt ook met alles weg te kunnen komen net als Google.

Het Is gewoon de strijd tussen reuzen en wij als 'gewone mens' zijn de slachtoffers. Enige wat we kunnen doen is alternatieven zoeken, maar door allerlei vendor lock-ins Is het bijna onmogelijk...
Je kan de gebruikstijden aanpassen zodat Windows binnen dat tijdsbestek niet herstart. Dan gaat Windows alleen buiten je gebruikstijden automatisch herstarten.
Maar wel maximaal 12 aaneengesloten uren per dag. Veel te beperkt. Net alsof Windows 12 aaneengesloten uren nodig heeft om te updaten...
Dat klopt, het is iets, maar verre van perfect inderdaad.
Je kunt niet ontkennen dat het 'iets' is, inderdaad, maar het is onvoldoende. Ik heb dus de Windows Update services gewoon volledig uitgezet, en start deze zelf enkele keren per week op op momenten dat het me wél uitkomt, om hem daarna ook direct weer uit te zetten.

Ik snap niet dat Microsoft dit zo moeilijk wil maken. Ik kan me voorstellen dat MS er baat bij heeft dat zo veel mogelijk mensen automatische updates aan hebben, zowel voor goede als voor mindere redenen (GWX anyone?). Maar zorg dan dat als je het niet makkelijk uit kan zetten of handmatig interactief kan doen, zorg dan ieder geval voor voldoende configuratiemogelijkheden om het gedrag te bepalen. Maximaal 12 uur per dag uitsluiten is complete nonsense, wie zijn zij om mijn dagindeling te bepalen. Ik kan misschien 3 aaneengesloten uren vinden die élke dag niet in de weg zouden zitten.
Ik viel je niet aan verder, mocht ik de indruk gegeven hebben.

Ben het ook wel met je eens dat de boel ook niet te veel moet rebooten. Naar mijn ervaring is het ongeveer 2 keer per maand dat Windows 10 uit zichzelf herstart. Dit jaar dusver elke keer als ik AFK was. Vorige maand nog, ik kreeg melding dat ik nog een uur had, 10min later naar de bakker in de straat gewandeld, vergeten handmatig te rebooten en toen ik 5 min later terug kwam, was de boel herstart. Verder gebeurd het tot nu toe vooral in de nacht. En als je regelmatig (alsin dagelijks/wekelijks) je OS herstart, merk je het normaal niet. Updates staan namelijk al een tijdje klaar voordat je uberhaupt de eerste melding krijgt (kanttekening: Met uitzondering van veiligheidslekken die actief misbruikt worden).

Verder is het heel erg vervelend, maar het alternatief is XP of 7.... Jaren oude installs waar updates op uitgeschakeld staan want -insert onnozele reden-. Waar we allemaal last van hebben d.m.v. spam, botnets en al dat soort ongein. En wij Tweakers weten ons er wel omheen te werken en zo niet, er zal vast wel een topic over zijn op de forums hier.

De maatregel is er voor de doorsnee gebruiker. MS is het zat de schuld te ontvangen als een Windows installatie verrot gaat omdat 1 of andere mafketel zei "Ja nee die updates, slecht man, uitzetten die bende". Wat angstvallig vaak voorkwam naar mijn ervaring. Hoeveel oude lui in de familie (en daarbuiten) ik wel niet heb moeten overtuigen "Nee gewoon aan laten staan, wat Henk zei is onzin". Wat je geheid gaat krijgen als Microsoft het makkelijk maakt voor mensen om hun updates uit te schakelen.

Windows Home > Microsoft bepaald update beleid.
Windows Pro > Jij stuurt Microsofts update beleid.
Windows Enterprise > Jij bepaald het update beleid.
Inderdaad, de automatische reboot kan vervelend zijn. Dat gebeurt mij ook wel eens.
Maar dan heb ik wel al een week lang meldingen en waarschuwingen weg zitten te klikken. Dat je er dus door overvallen wordt heb je 100% aan jezelf te danken.
10 dagen is in geen enkel geval een "acceptabel termijn" om iets te patches op de schaal van Windows.
Ik snap iets niet. Het is toch fijn om te weten dat er een veiligheidslek is? Dan weet je of zelf workarounds moet toepassen of dat er een update zit aan te komen.

Sinds wanneer is het de normaalste zaak van de wereld om dergelijke ongemakken onder het tapijt te willen schuiven? Dat is toch niet normaal gedrag? Als het ging om de politiek of de Formule 1, dan hadden we toch ook een verklaring van Rutte of Charly Whiting willen hebben?
Voor wie is de vraag. En of je er zelf wat aan kan doen.
Als er nog geen fix is kan je er zelf niks aan doen, maar een kwaadwillige kan er potentieel gebruik van maken. Eigenlijk heel logisch :X
Vaak kan je er wel iets aan doen. Zo was de enige bekende manier waarop dit lek misbruikt is via de flash player. Als beheerder kan je dus eenvoudig de flash player deinstalleren, of netwerk-breed flash content blokkeren.

Juist doordat lekken niet bekend worden gemaakt, kunnen organisaties niets doen om misbruik in hun netwerk te voorkomen.
edit: WAUW: het is nog veel simpeler: blijkbaar was het gat al gedicht en is dit hele nieuws bericht niet relevant ^^

[Reactie gewijzigd door SB[NL] op 1 november 2016 13:13]

Het nieuws is wel degelijk relevant. Het uitbrengen van een patch heeft niet automatisch tot gevolg dat gebruikers ook allemaal de patch installeren.
het lek in windows is niet gedicht. Enkel de (enige bekende) manier van misbruik is gepatched... (door adobe)
Ik denk dat het openbaar maken van zoiets meer kwaad doet dan wachten op de patch. Nu iedereen weet hoe je dit moet doen, maak je het alleen maar erger. Hoeveel lekker zitten er nog in Android? Worden die allemaal gedicht? Zeker niet bij de oude toestellen, ik bedoel maar. Google zal het niet na laten om dit te publiceren, hun belang is echt niet om jou en mij te helpen...
En zie hier het hele euvel om Flash default met je OS te leveren zoals MS dat met win 10 doet om Edge levensvatbaar te maken. Het is gewoon rommel en je bent de veiligheid van je OS kwijt.
Jammer dat ik na de anniversary update weer Flash op heb staan terwijl ik deze eruit had gesloopt.

[Reactie gewijzigd door dfury op 1 november 2016 07:43]

Je kunt Flash in de instellingen van Edge eenvoudig uitschakelen.
oh, ik dacht dat edge helemaal geen flash aan kon, want als ik nu wel eens flash probeer te installeren dan krijg ik de melding dat die het helemaal niet aan kan.
Ik vind het maar een beetje vervelende actie van Google. Gaten kunnen niet snel genoeg gemeld worden, maar wel op een verantwoorde manier. Misschien is zestig dagen te lang, maar om dan maar eenzijdig een andere termijn te hanteren vind ik niet netjes. De vraag dringt zich op of ze ook zo hadden gehandeld als hun eigen software wel kwetsbaar was geweest. Op deze manier voelt het als een lange neus maken naar MS.
Nu heb ik geen probleem met lange neuzen richting MS, maar dit gaat over de rug van iets te veel onschuldige gebruikers.

Het verborgen houden van gaten is uiteindelijk ook in het nadeel van de gebruikers, daarom is het de gewoonte om het uitbrengen van patches te coordineren. Daarvoor is een week IMHO te kort, zeker met de huidige stand van zaken in de IT. Ik hoop dat we in de toekomst steeds sneller op dit soort incidenten kunnen reageren, maar dat moet in goed overleg met de hele industrie.
Mijn Windows 10 (Build 14393) heeft gewoon de gepatchte Adobe Flash met versie "23,0,0,205" vanuit Microsoft ontvangen. Wat is nu het probleem?
Het probleem is dat er twee problemen zijn. Een kwetsbaarheid in Flash en een kwetsbaarheid in Windows.
Flash is gepatcht, Windows nog niet. De crux hier is dat de kwetsbaarheid in Windows ook zonder Flash misbruikt worden.
Zoals in het artikel staat:

Bronnen melden aan Venture Beat dat de Windows-kwetsbaarheid alleen te gebruiken is in combinatie met het lek in Flash.
Ja en Nee. De kwetsbaarheid in windows werkt in principe met elk probleem dat uiteindelijk local execution kan bewerkstelligen. Een nieuw of nog ander lek in adobe of een andere plugin kan nog steeds dit probleem misbruiken om admin rechten te krijgen.

Het zit zo: de commando's die nodig zijn in windows om de exploit te gebruiken worden standaard gefilterd door chrome. Echter een plugin zoals adobe kan de benodigde commando's wel uitvoeren en alsnog de exploit gebruiken. Echter hoeft dat niet per se het huidige adobe probleem te zijn. Elke toekomstige exploit in adobe of andere plugin kan nog steeds het huidige ongepatche windows lek gebruiken.
Daar lijkt het juist niet op:
Bronnen melden aan Venture Beat dat de Windows-kwetsbaarheid alleen te gebruiken is in combinatie met het lek in Flash.
het kan heel misschien zijn dat het ook te gebruiken is zonder flash, maar niet zo simpel zonder andere software die ook eenzelfde probleem heeft als flash..
Als het Google's beleid is om kwetsbaarheden te publiceren binnen een bepaalde termijn en ze houden zich hier consistent aan, dan is het op zich niet zo erg. Ik heb liever dat een 0-day bekend is zodat er zelf een risicoanalyse over gemaakt kan worden dan dat men enkel afhankelijk is van de fabrikant. Door het bekendmaken kunnen bijvoorbeeld tijdelijke workarounds gemaakt worden om de kwetsbaarheid onbruikbaar te maken.

Als Google weet dat er ergens een kwetsbaarheid is, dan is er een kans dat anderen dat ook weten (zoals met de kwetsbaarheid uit het nieuwsbericht). Maak het dan maar publiekelijk.

De discussie is mogelijk of de genoemde periode tussen melding bij fabrikant en publicatie lang genoeg is. Microsoft weet nu dat dat 10 dagen is wanneer Google iets rapporteert. Daarop kunnen zij hun processen inrichten.

[Reactie gewijzigd door The Zep Man op 1 november 2016 07:43]

Maar is 10 dagen een redelijk tijd? Wat als Google nu 48 uur neemt in de toekomst? Is dat dan nog steeds redelijk?
Maar is 10 dagen een redelijk tijd? Wat als Google nu 48 uur neemt in de toekomst? Is dat dan nog steeds redelijk?
Vrijheid van meningsuiting: iedereen mag ten alle tijden over kwetsbaarheden publiceren. Elke seconde die Google bovenop het moment van ontdekking doet is coulance. Of die 10 dagen redelijk zijn moet je ook zien vanuit het perspectief van de gebruiker: in dit voorbeeld werden de kwetsbaarheden al misbruikt. Langer de publicatie uitstellen zou de gebruiker niet helpen. De 10 dagen dienen ook als een drukmiddel voor de fabrikant, om de doofpot en uitstel door bureaucratie te voorkomen. Dit werkt overigens beide kanten op. Er staat Microsoft niets in de weg om kwetsbaarheden voor Google's producten te publiceren binnen een zelf gekozen termijn.

Met een goed ingericht proces denk ik dat Microsoft prima in 10 dagen tijd een patch kan uitbrengen, net zoals de fabrikanten van andere besturingssystemen dat kunnen doen (en vaak doen, zie Linux). Of Microsoft daarvoor de investering maakt is een andere zaak.

[Reactie gewijzigd door The Zep Man op 1 november 2016 08:05]

Ze konden dit lek ook releasen zonder verdere details, zoals wel eerder gebeurd door Google zelf!

Zie bvb naar volgende recente* Google Chrome update @ downloads: Google Chrome 48.0.2564.109

"[546677] High CVE-2016-1622: Same-origin bypass in Extensions."

https://bugs.chromium.org/p/chromium/issues/detail?id=546677

"You do not have permission to view the requested page.

Reason: User is not allowed to view this issue"

Lekker transparant en consequent...

correctie*: Link is niet van meest recente maar een 'recente' update, de rest van mijn opmerking blijft hetzelfde.

[Reactie gewijzigd door Sinnergy op 1 november 2016 08:32]

Dus Google heeft het lek al gepatcht. Als Microsoft Windows al gepatcht had, had Google de kwetsbaarheid ook niet gepubliceerd, dus Google is wel degelijk consequent.

[Reactie gewijzigd door RSpanjaard op 1 november 2016 12:42]

Hu maar ze geven toch ook geen details? Althans dat staat in t artikel hierboven?
Als ik de link in het artikel volg vind ik het toch een vrij gedetailleerde beschrijving, en als ik wat tijd had denk ik het wel werkend te kunnen krijgen.

Er staat precies welke call je moet gebruiken op welke window handler.

Ze gebruiken het ook nog even om te melden hoe geweldig Chrome wel niet is zonder te melden of andere browsers niet het zelfde doen.
Hmmm dat is inderdaad zeer slecht..
Zo van ej buurman je deur staat open die kan je beter opslot doen.
Week later nog open, oke dan even wat billboards plaatsen: deur staat open, grijp maar wat je wilt grijpen..

Alsof t aan mij is om dat kenbaar te maken haha.
Ze hebben gewoon een POC er bij staan toen ze de informatie hadden bekend gemaakt, dus dat is wel behoorlijk wat details (immers elke scriptkiddie kan nu de POC pakken en gebruiken)..
Tsja ik krijg er wel een dubbel gevoel bij.
Van de ene kant goed dat Google (doet alsof) wilt dat bedrijven hun lekken snel dichten.. Echter van de andere kant, waarom wilt dat Microsoft / windows gebruikers gehackt en gedupeerd worden?
Waarom wilt Google die laatste zet plaatsen?

Is het wel aan Google om dit soort lekken van andere bedrijven te publiceren?
Uiteraard Google is groot en de kans is groot dat veel mensen het te weten komen, van de ene kant goed, van de andere kant gewoonweg crimineel in mijn ogen..
Hoe snel een patch uitgebracht kan worden, uitgebracht wordt en zou moeten worden, dat zijn nogal verschillende dingen. Is 10 dagen redelijk? Soms wel, soms niet. Een bug die actief misbruikt wordt wil je opgelost hebben, maar als je de basis van je OS raakt, wil je wel echt zeker weten dat je door de fix niet een paar % van de configuraties wereldwijd brickt (niet alsof dat nooit gebeurd is).

Ook wordt er aangenomen dat als bekend is waar de bug zit, je dit zo even op kan lossen. Dat is zonder meer niet zo. Als er een rewrite van core code nodig is, kan het zomaar weken kosten om een fix te maken...niet elke fix is 2 regels code aanpassen en klaar. Een termijn van 10 dagen is soms dan ook compleet onrealistisch.

Om die reden vind ik het daarom ook heel kwalijk dat Google hier z'n eigen (zeer korte) termijn doordrukt terwijl ze beter zouden moeten weten. Laten we wel wezen, Google heeft de bugfixes voor problemen in Android nou ook niet bepaald altijd binnen 10 dagen live / uitgerold...als ze uberhaupt al besluiten een fix uit te brengen voor alle nog in gebruik zijnde Android versies. Het is prima dat de tech-giganten met security bezig zijn en elkaar scherp houden, maar hierbij krijg ik toch (weer) een 'pot-verwijt-ketel-gevoel' .
Als ik een product van jou wil afnemen waar ik voor moet betalen, kan je in inderdaad in de voorwaarden zetten dat die rekeningen binnen 10 dagen betaald moeten worden en dat er anders direct een incassobureau wordt ingeschakeld. En als ik dan toch besluit het product af te nemen, hebben we een geldige overeenkomst en mag je mij wettelijk aan die 10 dagen houden; daar heb ik tenslotte zelf voor getekend. Geen enkel probleem. En dus wel logisch.

Weer een analogie die de mist in gaat.
Behalve als jouw inkoopvoorwaarden eerder bij hem zijn dan zijn verkoopvoorwaarden bij jou ;-) Dan gelden jouw inkoopvoorwaarden.
Heb je gelijk in! :) Maar nog blijf ik het niet goed vinden dat Google hier bepaalt. Ze hebben er geen baat bij en de periode is ronduit belachelijk, zoals ik eerder vermeldde. Geen testperiode, amper analyse periode en ontwikkelperiode. Een bedrijf moet zich niet moeien met een ander zijn methode van werken. MS doet dit asap, Google doet enkel haatzaaien en brengt geen vordering in het proces..

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True