Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft: vroege publicatie Windows-lek door Google vormt gebruikersrisico

Microsoft heeft kritiek geuit op de vroege publicatie van een kritiek Windows-lek door Google. Het bedrijf beschreef de kwetsbaarheid op zijn blog, tien dagen nadat deze aan Microsoft was gemeld. Het lek zou actief worden gebruikt door kwaadwillenden.

Microsoft laat in een bericht aan Venture Beat weten dat 'het in het gecoördineerd melden van kwetsbaarheden gelooft en de publicatie door Google een potentieel risico vormt voor gebruikers'. Google beschrijft de kwetsbaarheid op zijn eigen beveiligingsblog. Daar stelt het bedrijf dat het op 21 oktober zero day-kwetsbaarheden aan zowel Adobe als Microsoft heeft gemeld. Vijf dagen later kwam Adobe met een patch voor het Flash-lek met kenmerk CVE-2016-7855. Microsoft bracht geen patch uit.

Google schrijft verder dat het daarom over is gegaan tot publicatie, wat in overeenstemming is met zijn beleid voor het melden van lekken die actief gebruikt worden. Daarvoor hanteert de zoekgigant zeven dagen in plaats van de gangbare zestig dagen om een patch te ontwikkelen. Bij het Windows-lek gaat het om een methode waarmee een lokale aanvaller door middel van privilege escalation aan de sandbox kan ontsnappen. Google beschrijft bovendien de win32k.sys system call waarmee de kwetsbaarheid gebruikt kan worden, maar treedt niet verder in details.

Bronnen melden aan Venture Beat dat de Windows-kwetsbaarheid alleen te gebruiken is in combinatie met het lek in Flash. Google raadt gebruikers aan om Flash te updaten en Windows-patches uit te voeren zodra deze beschikbaar zijn.

Door

Nieuwsredacteur

215 Linkedin Google+

Reacties (215)

Wijzig sortering
Dit is niet de eerste keer dat Google zo'n geintje uithaalt met Microsoft. Dit is gewoon een stukje marketing ten koste van gebruikers. De vorige keer was het een maand geloof ik, nu 10 dagen? Straks dus 24 uur?

Het is niet aan Google om Microsoft te vertellen hoe ze hun security moeten uitvoeren, Google heeft een beroerde track record als het om security in hun software producten aankomt en ze hebben een stukje minder ervaring want MS is al heel wat langer bezig in de software markt.

Als Microsoft nou een slecht update beleid had (Kuch, android, kuch) zou ik kunnen begrijpen dat je als security expert misschien een beetje wilt pushen zodat de boel gefixt wordt. Maar Microsoft heeft wat dat betreft een goede kijk op de zaak en is vrij vlot met het fixen van gaatjes.
Google schrijft verder dat het daarom over is gegaan tot publicatie, wat in overeenstemming is met zijn beleid voor het melden van lekken die actief gebruikt worden
Vanaf dat een lek gemeld wordt, gaat Microsoft monitoren of het lek misbruikt wordt. En Google denkt echt dat ze een beter inzicht hebben? Misschien ook wel gezien veel Chrome gebruikers de Windows telemetry e.d. (of privacy schendingen) uitschakeld... maar wel Chrome gebruiken :)

Ik vind dit zelf tamelijk onbeschoft van Google. Google vindt dus Google doet. Naast dat dit gewoon een marketing campaigne is.

EDIT: Gezien deze ook mooi bovenaan staat
Daar stelt het bedrijf dat het op 21 oktober zero day-kwetsbaarheden aan zowel Adobe als Microsoft heeft gemeld. Vijf dagen later kwam Adobe met een patch voor het Flash-lek met kenmerk CVE-2016-7855. Microsoft bracht geen patch uit.
CVE-2016-7855 https://technet.microsoft...ry/security/ms16-128.aspx
Published: October 27, 2016

Microsoft heeft een patch vrij gegeven op 27 oktober 2016! 6 dagen na het melden van het lek.


Zowel Google als Tweakers mogen wat beter hun huiswerk doen.

EDIT2: Toelichting op de patch. Het actieve misbruik vond/vind plaats via de exploit in Flash die op zijn beurt de (nog ongepatchde) kernel exploit gebruikte. Niet de kernel exploit los. Het daadwerkelijke lek (Vanaf een website je privilege escaleren) is dus gedicht. Het "ernstig kritieke", waardoor Google zich genoodzaakt voelde de werking vrij te geven, is dus downgraded naar gewoon kritiek. En dat kan -tenzij het in het wild gespot wordt- gewoon wachten op een patch tuesday.

[Reactie gewijzigd door batjes op 1 november 2016 13:37]

Ik heb inderdaad ook eerstehands ervaring met de support van Microsoft op het gebied van serieuze bugs. In mijn geval had ik er een gevonden in de .NET runtime.

Proces ging als volgt:
- Melden via de eerstelijn aan Microsoft;
- Diezelfde dag doorverwezen naar een software developer van het .NET team;
- Die ging het probleem eerst proberen te reproduceren als een minimum viable test-case; hier ging wat communicatie over en weer;
- Dag erna deelde hij deze code met mij om te confirmeren dat het om dezelfde bug ging. Na confirmatie werd diezelfde dag nog een fix gemaakt;
- Aangezien de runtime open source is, kreeg ik zelfs in een mail de relevante GIT changes;
- Vervolgens ging het gehele pakketje naar de QA dept., waar ze het opnamen in de documentatie van de KB, de update package in elkaar sleutelden voor de KB, meenemen in de tests voor de windows update package, de beschrijving op de website, etc. (dit kost wat dagen)
- En bij de volgende service update werd het uitgerold samen met nog een aantal fixes. (en ook dit kost ook een aantal dagen)

Ik kan me echt niet een veel beter proces voorstellen. Juist door niet te snel een update naar de markt te pushen en het rigide, extreem professionele systeem te hanteren voorkomen ze dat een bug-fix nieuwe issues oplevert. Ik kan niet anders zeggen dan dat ik het echt als een uitstekend proces heb ervaren.

De professionals doen hier gewoon hun ding en ze doen hun ding bijzonder goed. Ik zou het heel fijn vinden als partijen als Google dit niet proberen te ondermijnen met dergelijke stunts.
Google zelf gaat goed om met security. En is altijd snel met een fix. Alleen de fabrikanten die een aangepaste Android op hun telefoons gooien zijn traag. En werken niet mee. Maar zover ik weet is de Nexus altijd erg snel met updates ontvangen.
Snel een fix? Ben je vergeten hoelang het duurde dat het vorige lek in media gedicht werd in Android? Sterker nog, Google heeft tegen een grote groep gebruikers gewoon gezegd 'sorry, maar jullie versie van android is echt te oud'.

stagefright timeline:
- april 2015 gemeld
- mei 2015 alleen gefixed in interne (!) code van google
- juli 2015 publiek gemaakt
- 5 augustus presentatie en verdere info de wereld in geholpen, nog geen patch van google
- 12 augustus eerste publieke patch google die niets oploste.\

google deed er meer dan 120 dagen over om de gerapporteerde bug te fixen!! (en we zullen het er maar niet over hebben hoe het rampzalige updatemechnisme er voor zorgt dat sommigen nog steeds zonder patch zitten)

zie ook: https://blog.exodusintel....ght-mission-accomplished/
Deden ze wel...
Dat zegt ie toch in zijn bericht ?
Google brengt netjes patches uit voor de branch van Android, dat andere telefoon makers deze niet uitrollen, kunnen hun weinig aan doen.

Het update mechanisme werkt prima met stock Android, alleen wordt dit door de meeste Android custom roms aangepast, kun je Google niet schuldig om maken.
Google heeft er meer dan 120 dagen over gedaan om überhaupt met een patch te komen die de fabrikanten konden gebruiken en die patch die ze toen uitbrachten werkte niet eens.

Meer dan 120 dagen over een patch doen is niet 'netjes patches' uitbrengen
Ook bij Android staan sommige CVE een paar maanden open. Daarmee zeg ik niet dat Google niet goed omgaat met hun security, maar het is niet alsof Google altijd binnen een week een patch uitbrengt.
Je beantwoord mijn vraag nog steeds niet. Wat noem jij best lang? De security patches zijn meestal allemaal bij de volgende patch tuesday (of als echt kritisch soms eerder) uit. Dat vind ik snel, voor een complex systeem zoals Windows. Ze hebben dan de patches door hun hele QA proces gehaald en dat duurt ook even.

Daarnaast heb ik hele andere ervaringen met de support van Microsoft. Natuurlijk moet je eerst langs de eerste lijns dat is bij elke support desk zo. Maar bij mij heeft het nooit langer dan een paar dagen geduurd voordat ik naar de volgende lijn werd doorverwezen als dat nodig was. Daarnaast heb ik professioneel gezien een nog veel betere ervaring maar daar betalen wij natuurlijk ook voor. Bij de product ontwikkeling clubs krijg je vaak zelfs contact met een team member van dat ontwikkelteam als ze het niet kunnen reproduceren.

De support van Google is echt 100x beroerder. Ze hebben nieteens een echte support afdeling en tickets worden 9/10 gewoon genegeerd.

Backporten niet moeilijk? Ik ga er even vanuit dat jij geen professionele programmeer kennis hebt want dit slaat nergens op. Ook al zijn sommige windows versie op elkaar gebaseerd zitten er nogal wat wezenlijk verschillen en kun je er 99% zeker van zijn dat ze een fix op windows 10 niet even kunnen copy-pasten naar windows 7.

*offtopic* Je gebruik van M$ is ook niet meer van deze tijd. Microsoft is allang uit die "evil" mode gestapt.
Dus? Zie de Windows installs hetzelfde als Android installs en dat track record van Google is rampzalig, op zijn best.

MS heeft deze strijd met OEMs in de jaren 80 en 90 al gevoerd, waardoor MS vandaag de dag een fatsoenlijke controle heeft over zijn OS. Dat was vroeger anders

Google heeft zelf de situatie in Android zo veroorzaakt. Ze hadden gewoon naar OSX, Windows of zelfs Red Hat kunnen kijken van "Hoe het wel moest". Maar Google wou dat OEMs hun vrijheid kregen zodat Android makkelijk geadopteerd kon worden en zo de markt kon overnemen, want fabrikanten hadden geen zin in de veeleisende en strenge bemoeienis van Microsoft.

Het is gewoon een keuze geweest van Google, en zijn dus gewoon verantwoordelijk voor de veiligheidspuinhoop genaamd Android. Dat het tegenwoordig met Android wel oke zit kwa veiligheid neemt niet weg dat er nog een boel gebruikers op antieke versies zijn blijven hangen.
Zelfs als een fabrikant stock android draait dan nog zal Google geen updates voorzien voor die specifieke toestellen maar moet na de release de patch alsnog heel het trage process bij de fabrikant doorlopen. Dat de Nexus snel is, is omdat Google daar wel het beheer van de software op zich neemt.
Dit kan echter nog veel beter.
Release Android Nougat:
-22 augustus 2016
Uitrol Android Nougat voor Nexus telefoons begonnen op:
-22 augustrus 2016
Hoelang kun je wachten op een update hier in Nederland?
Waarschijnlijk een maand of twee. Dit weet ik zelf uit ervaring, omdat ik ook Nexus apparaten heb gehad.
Microsoft heeft dit beleid gewoon een stuk beter op orde. Ik kreeg de anniversary update voor mijn Windows 10 Mobile telefoon een week na de release. Dat is nogal een verschil! Idem dito voor Apple. En na 18 maanden hoef je niet meer te verwachten dat je nog updates krijgt. Dat is bij Apple en Microsoft wel anders. De Nexus 5 is nieuwer dan de Lumia 930. Waarom krijgt de 930 dan wel Windows 10 en de Nexus 5 geen Android Nougat?

[Reactie gewijzigd door daanb14 op 1 november 2016 10:17]

Alleen de fabrikanten die een aangepaste Android op hun telefoons gooien zijn traag.
ALLE fabrikanten zijn traag. En Google is hier mede schuldig aan. Als er een security fix is voor Windows hoef je ook niet te wachten op HP, Lenovo, Acer, Sony, etc.

Google had gewoon het core-OS en de drivers van elkaar moeten scheiden zodat ze zelf het OS kunnen updaten en de fabrikanten alleen verantwoordelijk zijn voor drivers.
Reguliere updates gegarandeerd tot 2 jaar na de eerste verschijning in Google Store.

Security updates gegarandeerd tot 18 maanden vanaf de datum waarop ze het toestel voor het laatst hebben verkocht in de Google Store (18 maanden voor Pixel telefoons en 2 jaar voor Nexus) of indien langer 3 jaar sinds hij voor het eerst werd uitgegeven.

https://support.google.com/playedition/answer/4457705?hl=en
De eerste paragraaf is incorrect, Google's Nexus update beleid is updates tot:
1) 3 jaar vanaf release
2) tot 18 maanden na laatste verkoopmoment (dus tellertje loopt in dat geval dus letterlijk wel van je aankoopdatum)
3) afhankelijk van 1 of 2, de langst mogelijke periode wordt aangehouden

En Google voorziet tegenwoordig wel degelijk patches voor oudere Android versies. I.e. Marshmallow branch krijgt nog steeds patches, ondanks dat Nougat al uit is.

Dat het nog beter zou kunnen, is zeker waar. Maar dit zijn gewoon onjuistheden.
Ben ik niet met je eens.Dit zijn kritieke lekken ,die al misbruikt werden.Na 10 dagen was er nog geen fix van onze software gigant .Kom op zeg.je zou maar slachtoffer zijn er er zo achter komen.
Dat het een kritiek lek is, is het oordeel van Google. Bijkomend is Windows een zeer complex stuk software, daar rol je niet zomaar op 1 dag een patch uit. De acceptance testen alleen al zullen wel wat tijd in beslag nemen.

Dat MS sneller mag zijn met het uitrolen van patches, daar ga ik mee akkoord. Maar het is niet aan Google om een ander bedrijf te gaan dicteren hoeveel tijd ze zouden moeten nemen.
Het is een kritiek lek (privilege escalation) wat actief gebruikt wordt. Dus ja, dan mag je best Microsoft op hun vingers tikken.

Alsof Microsoft nog aan acceptatie-testen doet, dat heet tegenwoordig de Insider Preview :+
Op de vingers tikken? Door de info naar buiten te gooien zodat iedereen met de exploit aan de slag kan (hetgeen waar Microsoft nu over klaagt)? Nu moeten ze gaan haasten en mogelijk minder grondig testen omdat ze nu onder tijddruk zijn gezet door Google waardoor er mogelijk half werk geleverd wordt.

Ik snap best dat je een bedrijf wilt straffen die niet op tijd met updates komt, maar is wat Google doet dan de oplossing? Ze maken bewust het probleem erger om Microsofts hand te forceren. Uiteindelijk is de gebruiker hiervan de dupe.

Dus met deze actie schiet niemand (behalve de hackers / script kiddies die deze exploit nog niet kende) wat op.
De exploit werd al actief gebruikt, dus het heeft geen zin om het verder nog geheim te houden. Ik snap niet waarom je Google de schuld geeft van Microsoft's slechte programmeerwerk? Ze hebben een heel duidelijk en redelijk beleid: 60 dagen tijd om te fixen als het nog niet misbruikt wordt, 7 dagen als dat wel zo is.
Nou, omdat je niet wilt dat een fix een ander stuk code laat klappen. Of omdat je niet wilt dat een fix niet installeert op bepaalde systemen (of erger). Of omdat je eerst een unit test wilt opnemen in de enorme test suite die draait op enkele honderden test-machines en die test-run wilt afwachten. Of omdat je wilt kijken hoe je fix wel/niet samenwerkt met de vele andere updates. Of omdat je naast de bug fix ook nog wat documentatie wilt schrijven en moet vertalen naar alle Windows-supported talen. Of omdat het simpelweg tijd kost voordat je een update uitgerold hebt naar een miljard systemen. Of...

Er zijn legio redenen te bedenken om eerst door een rigide QA procedure te gaan voordat je een fix publiceert naar een systeem dat op meer dan een miljard systemen draait. Ik geef Microsoft helemaal gelijk dat ze het proces gewoon doorlopen. Tijdsdruk is ultimo niemand bij gebaat.

En Google? Google zou beter moeten weten.
Ik geef Google ook gelijk om actie te ondernemen. Zou mooi zijn als meer bedrijven dat zouden doen. Elkaar in de gaten houden, en melden wanneer er wat gevonden wordt. Wordt alles alleen maar beter van, dus zeker puik werk.

Maar hoe Google er mee om gaat is wel schofterig. Wat ze nu hebben gedaan zijn alleen de consumenten de dupe van en forceert Microsoft om te haasten (en dus mogelijk andere problemen introduceren omdat er nu tijdsdruk is, dus minder tijd om te testen).

Google kan prima een beleid hebben. Ik kan ook een beleid hebben dat als je op mijn comments replied dat je je ongeboren kind aan mij dient af te staan. Je kan wel zoveel verzinnen, maakt het nog niet wettelijk of geldig (of zelfs zinnig).

Dus leuk dat ze die tijden duidelijk aangeven, daar heeft niemand een boodschap aan, nog hoeft Microsoft (of wie dan ook) zich daar aan te houden. Google zit hier zelf voor politie en rechter te spelen en dat is gewoon extreem fout. Melden is prima. Zelf anderen bedrijven in een hoekje jagen en consumenten onnodig in gevaar brengen is dat niet.
Dit is niet de eerste keer dat Google zo'n geintje uithaalt met Microsoft. Dit is gewoon een stukje marketing ten koste van gebruikers. De vorige keer was het een maand geloof ik, nu 10 dagen? Straks dus 24 uur?
Wat een onzin kraam je uit zeg... Google heeft 3,5 jaar terug gecommuniceerd hoe het omgaat met kritische kwetsbaarheden. Je kunt het hier allemaal teruglezen. Daarin staat keurig omschreven dat Google een termijn van 60 dagen acceptabel vindt, maar dat het natuurlijk altijd beter is om een kortere termijn te hanteren. Google hanteert zelf een termijn van 7 dagen. Het is dus al 3,5 jaar hetzelfde, dus waarom je een dikke +2 krijgt voor absolute onzin is me niet duidelijk.
Het is niet aan Google om Microsoft te vertellen hoe ze hun security moeten uitvoeren, Google heeft een beroerde track record als het om security in hun software producten aankomt en ze hebben een stukje minder ervaring want MS is al heel wat langer bezig in de software markt.
Als ik als automobilist op de weg zit, dan heb ik ook het recht om andere automobilisten op hun verantwoordelijkheden te wijzen. Zeker als ze een achterlichtje kapot hebben bijvoorbeeld.

Als Google constateert dat er een veiligheidslek actief misbruikt wordt, dan komen er bij mij direct twee vragen naar buiten: 1) Waarom heeft Microsoft dit niet gemeld? Ze hebben toch zulke goede telemetrie? 2) Waarom heeft MIcrosoft dit niet opgelost?
Als Microsoft nou een slecht update beleid had (Kuch, android, kuch) zou ik kunnen begrijpen dat je als security expert misschien een beetje wilt pushen zodat de boel gefixt wordt. Maar Microsoft heeft wat dat betreft een goede kijk op de zaak en is vrij vlot met het fixen van gaatjes.
Ik weet niet wat je vlot noemt, maar een veiligheidslek dat er al 15 jaar of 19 jaar in zit noem ik niet vlot.

Om vervolgens Android te gaan afzeiken omdat de leverancier van jouw telefoon niet de laatste Androids update beschikbaar stelt. Tja... Flauwtjes.
Ik vind dit zelf tamelijk onbeschoft van Google. Google vindt dus Google doet. Naast dat dit gewoon een marketing campaigne is.
Je mag het onbeschoft vinden. Wees in ieder geval blij dat er iemand is die met een stok achter de deur het door jou betaalde en door jou geliefde Microsoft op de huid zit. Veiligheid moet altijd voorop staan en je kunt het wel bagetaliseren en roepen dat het marketing is (en dat is het ook), maar wees blij.

Jij hebt verdikkeme betaald voor Microsoft Windows. Het is aantoonbaar lek en jouw leverancier komt niet binnen een redelijke termijn met een fix. En wat doe je...? Je gaat de boodschapper afblaffen. Raar.
Maar Google had zelf wel meer tijd nodig voor Stagefright, beetje meten met 2 maten.
De reden dat Google dus vooral aan het bughunten is om concurrent zwart te maken.
Het is niet meten met 2 maten. Google geeft aan zelf een termijn van 60 dagen acceptabel te vinden, maar 7 dagen wenselijker te achten. Soms is dat alleen niet mogelijk. Maar moet een veiligheidslek dan maar onder de pet gehouden worden?

Je ziet dat de eerste melding van Stagefright in april 2015 gedaan wordt. Binnen een paar dagen zie je online al de eerste details hierover. Prima toch?
Het scheelt dat MS zich aan dat termijn hield en na 6 dagen met een patch kwam. https://technet.microsoft...ry/security/ms16-128.aspx Published October
Dus omdat er een patch is moeten we het maar niet meer melden? Je zou het juist moeten melden, omdat het melden ervoor zorgt dat gebruikers dan ook daadwerkelijk de patch gaan downloaden en installeren. We kennen natuurlijk allemaal de befaamde Windows knop waarmee je updates weer een paar uur kunt uitstellen.

Ik hou niet zo van het onder de pet houden van veiligheidsissues. Dat is compleet verkeerd gedrag.
Best om het te melden, dit bericht is in de huidige opzet vrij kansloos. Er is een patch, er wordt hier duidelijk een concurent op de hak genomen.
Nee, dat ben ik niet met je eens. Google heeft nergens in het artikel geschreven dat Microsoft geen patch heeft uitgebracht.
Het probleem is, voor hetzelfde geld kan Microsoft de patch gewoon niet binnen 10 dagen uitrollen en heeft het minstens 20 dagen nodig.
Het probleem is dat je gewoon meet met twee maten. Toen de Stagefright bug gepubliceerd werd voor Android, vond je het geen enkel probleem om lekker mee te schoppen. Ik heb nergens in het verhaal gelezen dat je het voor de Android-gebruikers potentieel onwenselijk vond dat dit soort lekken gepubliceerd werden.

En dat terwijl er ondertussen wel meer Android als Windows gebruikers zijn.
Stagefright is bijna een half jaar overheen gegaan van melding tot publicatie.
De eerste meldingen bij Google zijn gedaan eind april en begin mei 2015, waarbij Google de eerste wijzigingen in de code al in mei heeft gedaan en vervolgens publiekelijk heeft uitgerold in augustus.

Ik vind het te laat, maar ben wel blij dat het gemeld is. Want alhoewel mijn toestel door het update-beleid van mijn fabrikant kwetsbaar is voor Stagefright, zorgt een eenvoudig aanpassing in de instelling van mijn MMS-berichten ervoor dat ik geen risico loop. En dat is precies wat je óók kunt bereiken met het melden van lekken.
Die patch waar je 't over hebt is de patch van Adobe (waar ook in 't artikel over gesproken wordt). Op de pagina die je linkt staat ook dat deze patch alléén de Flash player fixt, niet Windows. Op de pagina van Adobe wordt dezelfde patch beschreven (https://helpx.adobe.com/s...ash-player/apsb16-36.html).

Het klopt dus dat Microsoft geen patch voor Windows heeft uitgegeven. Wel verspreiden ze de patch van Adobe voor Flash.
Vanaf dat een lek gemeld wordt, gaat Microsoft monitoren of het lek misbruikt wordt. En Google denkt echt dat ze een beter inzicht hebben? Misschien ook wel gezien veel Chrome gebruikers de Windows telemetry e.d. (of privacy schendingen) uitschakeld... maar wel Chrome gebruiken
Het probleem is ontdekt in Chrome. Het is wel een beetje onzin om te roepen dat microsoft beter weet wanneer chrome misbruikt wordt dan google.

Iedereen loopt de zeuren dat 10 dagen veel te kort is, maar actief misbruikte exploits worden vaak onmiddelijk gemeld, zonder enige wachttijd. Vaak wordt dan niet de exploit code publiek gemaakt en dat is ook hier niet gebeurd
Je bekijkt het alleen wel heel eenzijdig. Klanten van chrome worden actief aangevallen. Als ze het te lang stilhouden en het komt naar buiten kijkt iedereen Google aan voor het niet melden van een potentieel probleem.

Het enige wat google hier gedaan heeft is het melden dat er manier is om privilege escalation te bewerkstelligen. Zulke exploits worden door MS meestal aangeduid als "medium" en sowieso niet meteen gepatched. Ik zeg ook nergens dat microsoft het maar meteen op moet lossen, alleen dat het melden ook weer geen ramp is.
Volgens mij is dat de patch van Flash die er na 5 dagen was, niet de patch in Windows zelf.
Het gaat hier om project zero, het zero-day exploit zoek team bij Google. Het gaat hier om een zero-day exploit die actief gebruikt wordt, welk door Google's beveiligingsonderzoekers is ontdekt. In hun informatie staat duidelijk, dat als een zero-day exploit, die door het Google team wordt ontdekt, actief wordt gebruikt, het bedrijf of team 7 dagen de tijd krijgt ipv de, anders, gebruikelijke 60 dagen.

Ik weet niet waar jij die 30 dagen vandaan haalt, maar volgens mij, en het Google team, moet dat 60 dagen zijn.

Bron: https://security.googlebl...-vulnerabilities.html?m=1
"Het is niet aan Google om Microsoft te vertellen hoe ze hun security moeten uitvoeren"

Die kan je natuurlijk ook omdraaien:
Het is niet aan Microsoft om Google te vertellen hoe ze hun security publicaties moeten uitvoeren
Stagefright werd nog niet actief misbruikt. Er is gewoon een groot verschil tussen:

- Er is een mogelijk probleem met de design van de batterij die mogelijk in de toekomst brand kan veroorzaken
EN
- De batterij in deze telefoon is actief mensen, huizen en auto's aan het verbranden en het is wachten tot het gebeurt in een vliegtuig
Google heeft met Android zelf helemaal geen slecht update beleid, de fabrikanten van de toestellen zijn degenen die het verpesten.
Google heeft deze situatie helemaal zelf gecreeerd en is er dus ook gewoon verantwoordelijk voor. Bovendien maakt het voor het eindresultaat natuurlijk geen bal uit.
Google doet tenminste iets, een groot bedrijf zou voor zo'n lek binnen 10 dagen een update moeten uit kunnen brengen. Als ze dat niet doen, wanneer doen ze het dan wel? 1 maand, half jaar? Zeg het maar, maar ik heb dan liever dat ik weet hoe het zit dan dat ik over 6 maanden te horen krijg: 'Oh enneh, sorry dat we je een tijdje in gevaar hebben gehouden.'.
90 dagen is de standaard voor disclosure, en 90 dagen is dus ook de termijn waarin verwacht wordt dat de update uitgerold is - zo niet, dan weet iedereen de details. Google wijkt daar wel vaker vanaf als ze een concurrent een hak kunnen zetten.

Bovendien patcht Google zelf ook regelmatig een lek niet binnen deze tijd, dus hypokriet is het ook nog eens.

[Reactie gewijzigd door BoomSmurf op 1 november 2016 09:35]

> Het lek zou actief worden gebruikt door kwaadwillenden.

Als het al actief gebruikt wordt zou men niet veel meer risico lopen door de publicatie.
Men zal niet direct in een huis inbreken omdat de deur niet op slot is, zolang de deur maar toe blijkt te zijn.

Er zullen enkelen zijn die proberen de deur te openen, en het zijn deze die misbruik kunnen maken van de situatie.

Als men duidelijk gaat zitten verkondigen "deze deur is niet op slot" dan ga je natuurlijk veel meer potentieel kwaadwilligen krijgen die anders niet zouden "geprobeerd" hebben.
Aan de andere kant roept Google nu ook tegen de eigenaren van de deur: "Hey, je deur staat niet op slot!", zodat gebruikers stappen kunnen ondernemen en bewust zijn van het feit dat de deur open staat. Wel zo handig als je weet dat er op dat moment inbrekers actief zijn in de buurt ;)
Geeft enkel maar stress als je weet dat de slotenmaker pas volgende week een nieuw slot kan komen steken ;)

Punt is dat de gewone gebruiker er weinig tegen kan doen tegen dit issue (los van 'up to date' zijn), en dat je op deze manier vooral de 'kwaadwilligen' helpt.
Geeft enkel maar stress als je weet dat de slotenmaker pas volgende week een nieuw slot kan komen steken ;)
Het slot is er wel al:
Bronnen melden aan Venture Beat dat de Windows-kwetsbaarheid alleen te gebruiken is in combinatie met het lek in Flash.
Flash is wel gepatched, dus als je die installeert zit het slot gewoon op de deur :)
Heerlijke over versimpeling. Zie het dan als een flatgebouw. Bij jouw appartement werkt het slot niet meer naar behoren. Maar het slot op de deur van het complex (die eerst ook niet werkte) is nu weer gefixed. Dus zolang je lieftallige buurvrouw (andere app developers) geen ongenodigde gasten binnen laat ben je veilig. Een concurrent die ook graag met die lieftallige buurvrouw uit wil, heeft in ieder geval een prachtige advertentie opgehangen in de stad waarbij vermeldt staat dat jouw slot niet werkt, met je naam en adres er bij. Zelf heeft die natuurlijk alles perfect op orde.
Ik denk dat ik t wel met je eens ben.
offtopic
Van een ding kunnen we wel zeker zijn: tweakers kunnen geen goede analogieën bedenken. Heerlijk hoe we van een simpele stelling van één regel stap voor stap naar een heel verhaal gaan dat recht doet aan alle nuances maar dat zo bizar is dat het originele verhaal duidelijker is.
Het is alleen jammer dat het doel van de analogie, het in een bekendere context plaatsen van een situatie zodat het beter te begrijpen is, hierdoor een beetje verloren gaat. :)
/offtopic

Ik snap dat een kwetsbaarheid die actief gebruikt wordt een andere publicatieduur heeft als een onbekend lek. Maar 7 dagen is voor een complex product als een OS echt te kort zeker als het probleem in de kern(el) van het product zit. Het daadwerkelijk fixen van het probleem is dan misschien maar een uurtje werk maar ik kan me bijna niet voorstellen dat je in een werkweek ook nog kan verifiëren dat het gefixed is en dat de fix geen enkel ander onderdeel van het os of bonafide programma van 3e partijen beïnvloed (ookal gaat er natuurlijk een hoop geautomatiseerd).

Ik denk dus ook dat google hier wel wat andere motieven als de veiligheid van de gebruiker laat prevaleren. Zeker omdat het actieve gebruik van t lek nu gestopt is door de patch van Abobe.

[Reactie gewijzigd door jmzeeman op 1 november 2016 09:26]

Flash is in deze analogie het tuinhekje - er zijn meer manieren om bij de voordeur te komen. Die "bronnen" beperken zich to web-based attacks. Op zich logisch voor een issue dat bij chrome vandaan komt, maar web-based attacks zijn niet de enige.

Ieder proces dat code kan uitvoeren, kan nu local admin worden op een windows machine. Binnen chrome is Flash de enige die dat soort code kan uitvoeren, maar op desktops kan bijna iedere gebruiker dat, zonder een UAC venstertje te triggeren.
Precies. Dan is het dus veel veiliger om nu te publiceren omdat mensen zich dan kunnen wapenen door flash te updaten, dan dat Google nog eens 3 maanden gaat wachten tot Microsoft een keer over de brug komt met een patch. ;) Mensen zijn sneller geneigd te updaten als ze op verschillende plekken horen over een groot lek en hoe je dit kan oplossen.

Google heeft hier gewoon de juiste keuze gemaakt, zeker omdat Adobe een patch heeft uitgebracht.

[Reactie gewijzigd door WhatsappHack op 1 november 2016 07:44]

Google had ook kunnen vertellen dat er een lek in Windows zit wat in combinatie met een lek in Flash misbruikt kan worden zonder de details te publiceren. Dan kunnen mensen ook zich wapenen door Flash te updaten en dan wachten totdat MS het lek op hun eigen tempo fixen. Je wil natuurlijk niet dat MS (te) snel een fix uitbrengt die meer kapot maakt.

Google heeft dus niet de juiste keus gemaakt.
Dat ligt er natuurlijk aan hoe actief het misbruikt wordt. Zijn er nu 1-2 groepen die het misbruiken, dan loop je wel zeker meer risico wanneer ze maar direct de hele wereld uitleggen hoe je het kan misbruiken.
Volgens het artikel wordt helemaal niet uitgelegd hoe je het kan misbruiken..
Zeker wel want er zullen na publicatie meer exploits en tools om dit te misbruiken komen. Het risico loopt hierdoor op.
Maar MS zal hierdoor ook sneller moeten reageren waardoor het risico misschien tijdelijk hoger wordt, maar juist sneller afneemt :)

Anyway, gewoon Flash patchen, dan is het lek voor nu onbruikbaar, hoewel dat lek op meerdere manieren te gebruiken zal zijn, is er dus haast geboden van MS, vandaar dat er nu druk op de ketel staat.

[Reactie gewijzigd door watercoolertje op 1 november 2016 08:35]

Inderdaad. Het lijkt dat wat mensen hier daar naast zien.

Het lek werdt al misbruikt, dus dan is snelle publicatie bijna verplicht in mijn ogen.
Het gaat hier dan ook niet over welk bedrijf tegen welk bedrijf stoten uithaald, maar juist over de exploit zelf. En over het feit dat deze al misbriukt werd en dus een 0day was.
Door het publiceren van kwetsbaarheden worden ze sneller gefixt. MS vindt dit niet leuk, maar dat is nou precies de bedoeling; MS wordt onder druk gezet om de bug sneller te patchen.
Welk bedrijf wordt er volgens jou onder druk gezet om het maken van zo'n bom niet meer mogelijk te maken, als het recept gepubliceerd wordt? Waar zit de 'kwetsbaarheid', en is er een bedrijf dat die kwetsbaarheid kan 'patchen'?

Zoals altijd laat het gebruik van een analogie juist de zwakte van een standpunt zien. Als je je standpunt niet zonder analogie kunt verdedigen, kan je het net zo goed helemaal niet verdedigen.
Niet akkoord. Als er 1 groep is die het misbruikt is de kans op besmetting nog altijd een heel stuk kleiner dan wanneer men het nieuws wereldkundig maakt en iedereen het kan gaan misbruiken.
Windows heeft een redelijk grote install base. Een patch oplossen kan, afhankelijk van de complexiteit redelijk wat tijd in beslag nemen. Nog maar te zwijgen over de tests, voornamelijk compatibility test want voor je het weet maak je miljoenen computers onbruikbaar.
Adobe kan het binnen vijf dagen oplossen. MS niet in tien dagen.

MS heeft gewoon een lange geschiedenis van langzaam omgaan met beveiligings-problemen. Deze bug wordt al misbruikt, dan is "geheim houden" geen optie meer maar moeten gebruikers gewaarschuwd worden zodat ze zelf actie kunnen ondernemen.

Het is in het verleden vaak genoeg gebeurt dat MS problemen maanden laat liggen na een waarschuwing. Tijd om ze eens het vuur aan de schenen te leggen.
Er zit ook wel een ernstig verschil in grootte tussen de codebase van Flash en van Windows.
Denk je dat Adobe het in alle mogelijke combinaties heeft getest? Microsoft doet dat wel.

Geheimhouden is nog wel een optie, publiek bekend maken heeft vaak het effect dat het ineens veel erger wordt, terwijl Microsoft niet veel sneller kan.
Dat zou google als geen ander moeten weten sinds Stagefright (welke explosief steeg na bekendmaking in begin augustus, terwijl google er al van af wist sinds april dat jaar)
> Het lek zou actief worden gebruikt door kwaadwillenden.

Maar geheim houden is een optie. 8)7

Nu kunnen gebruikers zelf actie ondernemen om problemen te voorkomen. Bij geheimhouding niet.

Zodra een exploit gebruikt wordt is de kat uit de zak en kun je die er niet meer in stoppen.
Probleem is dat je het vuur aan de schenen van de gebruikers legt, met als effect dat microsoft natuurlijk ook geaffecteerd is ('slechte reclame').
Adobe kan het binnen vijf dagen oplossen. MS niet in tien dagen.
Adobe hoeft het enkel op te lossen in een plugin. Microsoft in een compleet besturingssysteem. Compleet andere soort ontwikkeling dus. Appels en peren.
Flash is een programma, Windows een OS.
En dat geeft net iets meer risico met je patch uitbrengen. Het risico dat je bij een paar miljoen gebruikers flash voor enkele dagen de nek om draait kan je nog wel lopen. Het risico dat je bij een paar miljoen gebruikers windows de nek om draait daarentegen.
Adobe Flash is dan ook een heel erg klein programma vergeleken met een OS en Adobe hoeft alleen maar het platform Windows te targetten, terwijl Windows zelf niet altijd gebruik kan maken van die hardware abstractie. Verder is het zo dat een patch die iets anders stuk maakt in Flash niet zo destructief is als een patch die iets stuk maakt in een OS. Als laatste draait er op veel minder computers Flash dan Windows.
Maar flash is dan ook geen OS waar een hoop bestaande software op draait, en hoeft dan ook niet zo uitvoerig getest te worden (of het interesseert ze werkelijk geen ruk als het bestaande installaties verpest).
En hun lange patch-voorbereid-periode verandert daar weinig aan. MS heeft al meerdere keren patches vrijgegeven die inderdaad duizenden computers onbruikbaar maken. Boot-loops, verkeerde drivers gepusht, dat soort ongein.

Blijkbaar helpt het dus niet. Laat ze dan bij ernstige lekken maar gewoon zo snel mogelijk de meest obvious patch de deur uit doen, ze kunnen altijd later nog een revisie de deur uit doen zoals ze vaker gedaan hebben.

[Reactie gewijzigd door MadEgg op 1 november 2016 11:41]

Nee, Windows vormt het risico. Microsoft: don't shoot the messenger.
Nee, er was amper een risico voordat Google dit met alle nodige details voor iedereen publiekelijk op straat gooide en dit openstelde voor iedere kwaadwillende in plaats van de waarschijnlijk beperkte groep die er tot nu toe vanaf wist. 10 dagen is een belachelijk kort termijn en het is niet de eerste keer dat Google dit soort dingen uithaalt. Eerder gooide ze ook al een lek open op straat met exploit en al, wetende dat een patch twee dagen er na zou worden uitgestuurd. Dat is gewoon kinderachtig. Een vast termijn instellen voor iedere soort software is belachelijk en als ze dat dan toch willen doen, dat ze dat dan eerst eens doen met hun eigen software. Wees maar gerust dat Google zat van lekken heeft die al misbruikt worden in hun eigen software die ze niet op straat hebben gegooid.
Eerder gooide ze ook al een lek open op straat met exploit en al, wetende dat een patch twee dagen er na zou worden uitgestuurd. Dat is gewoon kinderachtig.
Dus omdat er een patch uitkomt moet je dan maar een lek onder de pet houden? Brrr...
Het feit dat er lekken zijn die Google weet te vinden zegt al genoeg. Tuurlijk, geen enkel systeem is perfect, maar zo imperfect als ze het in Redmond maken kom je (gelukkig!) weinig tegen.

Als Google al details weet te vinden over security lekken en de exploits kun je er gif op innemen dat iederéén ze kan vinden en misbruiken, óók voordat Google er aandacht aan besteed.
Een fix kan inderdaad snel gemaakt zijn, alleen je wil voor de release van de fix zeker weten dat niks anders is omgevallen. Die impact en risico analyse moet eerst worden gedaan, dan moet de fix worden uitgevoerd en daarna moet er worden getest, en moet het mee in een hotfix release.

10 dagen is dan erg kort.... en vind het ook een dickmove van Google

[Reactie gewijzigd door Sinraed op 1 november 2016 07:39]

Het is toch niet Googles probleem dat Microsoft een patch niet op tijd kan uitrollen?
Het is een potentieel probleem voor de "gewone" gebruiker ja. Men mag dan ook rekening houden met de mogelijke impact vind ik.

Nog eens, wie bepaald dat 10 dagen een redelijk termijn is? Wat als ze het aanpassen naar 2 dagen, of 1 dag? Nog steeds redelijk?
Nog eens, wie bepaald dat 10 dagen een redelijk termijn is? Wat als ze het aanpassen naar 2 dagen, of 1 dag? Nog steeds redelijk?
Tja wat redelijk is is nogal lastig, de ene zal zeggen een jaar de andere 10 dagen. En beide kunnen ze gelijk hebben. Redelijkheid is toch een persoonlijke opvatting van iets :)
Ik snap niet dat MS en Google hier niet over kunnen communiceren. Als MS bezig is met een patch dan lijkt het me courant om nog even te wachten met publicatie. Publicatie is een extreem middel, je zet veel druk maar je geeft veel virusschrijvers de kans om het lek te gebruiken, nog jaren zelfs op machines die niet gepatched worden.

Als je een codebase zo groot als Windows hebt dat draait op zoveel verschillende hardware als Windows dan krijg je niet alles door QA binnen 10 dagen. En dan ga je er van uit dat de patch meteen de hoogste prioriteit kreeg en makkelijk op te lossen was.

Man ik ben in de codebase van mijn werk wel eens langer bezig geweest om de bug op te lossen.
Vergeet niet dat die 10 dagen geldt voor kwetsbaarheden die al misbruikt worden. Virusschrijvers kennen het lek dus al. Als een lek nog niet misbruikt wordt, hanteert Google een termijn van 60 dagen.
Ik snap niet dat MS en Google hier niet over kunnen communiceren. Als MS bezig is met een patch dan lijkt het me courant om nog even te wachten met publicatie.

Dat kan Google wel, maar doet ze bewust niet. Men heeft ook al eens lekken op een feestdag bekend gemaakt, en houdt ook geen rekening met de alom bekende Patch Tuesday tijdsduur. Star vasthouden aan arbitraire nummers betreft het aantal dagen is het devies.

Immers vergeet niet dat Google Zero day enkel zero days bevat die niet van Alphabet dochters zijn. Lekken die je aan Google meldt betreft eigen en zuster-bedrijf producten worden geheel niet gemeld en zijn niet gebonden aan enige termijn - laat staan iets als 10 dagen.

Regels voor anderen, uitzonderingen voor jezelf.

De wereld is niet zwart-wit, maar Google Zero day is ook een instrument tégen je concurenten, en Google weet dat donders goed.
Zero day zegt niet zoveel over de ernst van het lek, het geeft alleen aan dat het een lek is wat nog maar net bekend is. Ik geloof best dat er voor ernstige lekken een snelle patch is op Linux, maar voor zo'n groot product als Windows vind ik 10 dagen vrij weinig. Ik kan het zo een, twee, drie niet terug vinden maar volgens mij is dit niet de eerste keer. Het lijkt erop dat Goog bewust Windows gebruikers in gevaar brengt door de lekken zo snel te publiceren.
Nee, Google brengt Windowsgebruikers bewust op de hoogte van een lek wat al misbruikt wordt.
Sorry hoor, maar een fatsoenlijke patch kun je niet in zo'n korte tijd goed getest hebben mbt compatabiliteit etc. Och en sommige lekken in Linux zitten er al jaren in terwijl ze dit wisten en er niets aan gedaan hadden..
Ik heb liever dat ze zulke patches ook goed doortesten ipv ff fixen en publishen zonder te weten of dit geen gevolgen heeft voor bestaande software..
Week geleden nog nieuws bericht over een kritiek lek wat 9 jaar geleden gemeld was en pas dit jaar eindelijk gefixt werd.
Klop, klepel...

Dat was een kwetsbaarheid die wel bekend was, maar een manier om het te misbruiken ontbrak. Dat is pas sinds kort bekend, waardoor de kwetsbaarheid werd opgelost (op zeer korte termijn).

Een probleem van kwetsbaarheden oplossen is dat het backwards compatibility kan breken. Als een kwetsbaarheid niet misbruikt kan worden en het oplossen ervan drastische wijzigingen kan brengen, dan kan worden besloten om de kwetsbaarheid in de gaten te houden en niet meteen op te lossen. Vanaf bekendmaking kan je langzaamaan de afhankelijkheid van de kwetsbaarheid uitfaseren.

Van informatiebeveiliging wordt vaak gezegd dat het rust op confidentialiteit, integriteit en beschikbaarheid. Die laatste wordt wel eens vergeten, maar is net zo belangrijk. ;)
De manier van misbruik maken ontbreekt nu ook nu flash is gepatched. Dus waarom moet MS dan nu haast maken? Omdat er een nieuwe manier van misbruik gevonden kan worden? Dat gelde voor het lek in Linux ook he...
Omdat het lek ook met local access misbruikt kan worden?
De patch in flash maakt alleen (voor nu!) remote misbruik onmogelijk.
Als je door een andere bug al binnen ben, kan je dus hiermee simpelweg admin worden en de hele machine overnemen.
De manier van misbruik maken ontbreekt nu ook nu flash is gepatched. Dus waarom moet MS dan nu haast maken? Omdat er een nieuwe manier van misbruik gevonden kan worden? Dat gelde voor het lek in Linux ook he...
De kwetsbaarheden staan los van elkaar. Daarnaast meld Microsoft zelf dat er wel degelijk misbruik van gemaakt wordt.
Maar het feit dat die kwetsbaarheid er 9 jaar heeft kunnen zitten is mij wel degelijk een doorn in het oog. Dat je het niet snel oplost, daar kan ik inkomen. Maar dat gedurende 9 jaar vele mensen die bug hebben gezien en nooit iemand de moeite heeft genomen om deze te fixen is voor mij onaanvaardbaar.
Dit jaar wederom gefixed werd. Het probleem was al eens gepatched maar gaf problemen, dus is teruggedraaid. Daarna is het vergeten en heeft niemand er verder ook naar omgekeken omdat een klein groepje maar van 't bestaan afwist - totdat t recent door een groepje "herontdekt" werd in bepaalde versies, en t ook meteen binnen een dag of twee gepatched is...

Vind ik toch een nuance verschilletje met die 9 jaar.
Idd, dus je omschrijft exact waarom MS eerst een patch goed wil testen. Want dan hoeven ze het later niet helemaal opnieuw te doen.
en daarom brengt microsoft ook periodiek patches en updates voor updates uit :F
Ik snap iets niet. Het is toch fijn om te weten dat er een veiligheidslek is? Dan weet je of zelf workarounds moet toepassen of dat er een update zit aan te komen.

Sinds wanneer is het de normaalste zaak van de wereld om dergelijke ongemakken onder het tapijt te willen schuiven? Dat is toch niet normaal gedrag? Als het ging om de politiek of de Formule 1, dan hadden we toch ook een verklaring van Rutte of Charly Whiting willen hebben?
Voor wie is de vraag. En of je er zelf wat aan kan doen.
Als er nog geen fix is kan je er zelf niks aan doen, maar een kwaadwillige kan er potentieel gebruik van maken. Eigenlijk heel logisch :X
Vaak kan je er wel iets aan doen. Zo was de enige bekende manier waarop dit lek misbruikt is via de flash player. Als beheerder kan je dus eenvoudig de flash player deinstalleren, of netwerk-breed flash content blokkeren.

Juist doordat lekken niet bekend worden gemaakt, kunnen organisaties niets doen om misbruik in hun netwerk te voorkomen.
En zie hier het hele euvel om Flash default met je OS te leveren zoals MS dat met win 10 doet om Edge levensvatbaar te maken. Het is gewoon rommel en je bent de veiligheid van je OS kwijt.
Jammer dat ik na de anniversary update weer Flash op heb staan terwijl ik deze eruit had gesloopt.

[Reactie gewijzigd door dfury op 1 november 2016 07:43]

Je kunt Flash in de instellingen van Edge eenvoudig uitschakelen.
Ik vind het maar een beetje vervelende actie van Google. Gaten kunnen niet snel genoeg gemeld worden, maar wel op een verantwoorde manier. Misschien is zestig dagen te lang, maar om dan maar eenzijdig een andere termijn te hanteren vind ik niet netjes. De vraag dringt zich op of ze ook zo hadden gehandeld als hun eigen software wel kwetsbaar was geweest. Op deze manier voelt het als een lange neus maken naar MS.
Nu heb ik geen probleem met lange neuzen richting MS, maar dit gaat over de rug van iets te veel onschuldige gebruikers.

Het verborgen houden van gaten is uiteindelijk ook in het nadeel van de gebruikers, daarom is het de gewoonte om het uitbrengen van patches te coordineren. Daarvoor is een week IMHO te kort, zeker met de huidige stand van zaken in de IT. Ik hoop dat we in de toekomst steeds sneller op dit soort incidenten kunnen reageren, maar dat moet in goed overleg met de hele industrie.
Ja en Nee. De kwetsbaarheid in windows werkt in principe met elk probleem dat uiteindelijk local execution kan bewerkstelligen. Een nieuw of nog ander lek in adobe of een andere plugin kan nog steeds dit probleem misbruiken om admin rechten te krijgen.

Het zit zo: de commando's die nodig zijn in windows om de exploit te gebruiken worden standaard gefilterd door chrome. Echter een plugin zoals adobe kan de benodigde commando's wel uitvoeren en alsnog de exploit gebruiken. Echter hoeft dat niet per se het huidige adobe probleem te zijn. Elke toekomstige exploit in adobe of andere plugin kan nog steeds het huidige ongepatche windows lek gebruiken.
Daar lijkt het juist niet op:
Bronnen melden aan Venture Beat dat de Windows-kwetsbaarheid alleen te gebruiken is in combinatie met het lek in Flash.
Als het Google's beleid is om kwetsbaarheden te publiceren binnen een bepaalde termijn en ze houden zich hier consistent aan, dan is het op zich niet zo erg. Ik heb liever dat een 0-day bekend is zodat er zelf een risicoanalyse over gemaakt kan worden dan dat men enkel afhankelijk is van de fabrikant. Door het bekendmaken kunnen bijvoorbeeld tijdelijke workarounds gemaakt worden om de kwetsbaarheid onbruikbaar te maken.

Als Google weet dat er ergens een kwetsbaarheid is, dan is er een kans dat anderen dat ook weten (zoals met de kwetsbaarheid uit het nieuwsbericht). Maak het dan maar publiekelijk.

De discussie is mogelijk of de genoemde periode tussen melding bij fabrikant en publicatie lang genoeg is. Microsoft weet nu dat dat 10 dagen is wanneer Google iets rapporteert. Daarop kunnen zij hun processen inrichten.

[Reactie gewijzigd door The Zep Man op 1 november 2016 07:43]

Maar is 10 dagen een redelijk tijd? Wat als Google nu 48 uur neemt in de toekomst? Is dat dan nog steeds redelijk?
Maar is 10 dagen een redelijk tijd? Wat als Google nu 48 uur neemt in de toekomst? Is dat dan nog steeds redelijk?
Vrijheid van meningsuiting: iedereen mag ten alle tijden over kwetsbaarheden publiceren. Elke seconde die Google bovenop het moment van ontdekking doet is coulance. Of die 10 dagen redelijk zijn moet je ook zien vanuit het perspectief van de gebruiker: in dit voorbeeld werden de kwetsbaarheden al misbruikt. Langer de publicatie uitstellen zou de gebruiker niet helpen. De 10 dagen dienen ook als een drukmiddel voor de fabrikant, om de doofpot en uitstel door bureaucratie te voorkomen. Dit werkt overigens beide kanten op. Er staat Microsoft niets in de weg om kwetsbaarheden voor Google's producten te publiceren binnen een zelf gekozen termijn.

Met een goed ingericht proces denk ik dat Microsoft prima in 10 dagen tijd een patch kan uitbrengen, net zoals de fabrikanten van andere besturingssystemen dat kunnen doen (en vaak doen, zie Linux). Of Microsoft daarvoor de investering maakt is een andere zaak.

[Reactie gewijzigd door The Zep Man op 1 november 2016 08:05]

Ze konden dit lek ook releasen zonder verdere details, zoals wel eerder gebeurd door Google zelf!

Zie bvb naar volgende recente* Google Chrome update @ downloads: Google Chrome 48.0.2564.109

"[546677] High CVE-2016-1622: Same-origin bypass in Extensions."

https://bugs.chromium.org/p/chromium/issues/detail?id=546677

"You do not have permission to view the requested page.

Reason: User is not allowed to view this issue"

Lekker transparant en consequent...

correctie*: Link is niet van meest recente maar een 'recente' update, de rest van mijn opmerking blijft hetzelfde.

[Reactie gewijzigd door Sinnergy op 1 november 2016 08:32]

Dus Google heeft het lek al gepatcht. Als Microsoft Windows al gepatcht had, had Google de kwetsbaarheid ook niet gepubliceerd, dus Google is wel degelijk consequent.

[Reactie gewijzigd door RSpanjaard op 1 november 2016 12:42]

Hoe snel een patch uitgebracht kan worden, uitgebracht wordt en zou moeten worden, dat zijn nogal verschillende dingen. Is 10 dagen redelijk? Soms wel, soms niet. Een bug die actief misbruikt wordt wil je opgelost hebben, maar als je de basis van je OS raakt, wil je wel echt zeker weten dat je door de fix niet een paar % van de configuraties wereldwijd brickt (niet alsof dat nooit gebeurd is).

Ook wordt er aangenomen dat als bekend is waar de bug zit, je dit zo even op kan lossen. Dat is zonder meer niet zo. Als er een rewrite van core code nodig is, kan het zomaar weken kosten om een fix te maken...niet elke fix is 2 regels code aanpassen en klaar. Een termijn van 10 dagen is soms dan ook compleet onrealistisch.

Om die reden vind ik het daarom ook heel kwalijk dat Google hier z'n eigen (zeer korte) termijn doordrukt terwijl ze beter zouden moeten weten. Laten we wel wezen, Google heeft de bugfixes voor problemen in Android nou ook niet bepaald altijd binnen 10 dagen live / uitgerold...als ze uberhaupt al besluiten een fix uit te brengen voor alle nog in gebruik zijnde Android versies. Het is prima dat de tech-giganten met security bezig zijn en elkaar scherp houden, maar hierbij krijg ik toch (weer) een 'pot-verwijt-ketel-gevoel' .

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*