×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft: vroege publicatie Windows-lek door Google vormt gebruikersrisico

Door , 215 reacties

Microsoft heeft kritiek geuit op de vroege publicatie van een kritiek Windows-lek door Google. Het bedrijf beschreef de kwetsbaarheid op zijn blog, tien dagen nadat deze aan Microsoft was gemeld. Het lek zou actief worden gebruikt door kwaadwillenden.

Microsoft laat in een bericht aan Venture Beat weten dat 'het in het gecoördineerd melden van kwetsbaarheden gelooft en de publicatie door Google een potentieel risico vormt voor gebruikers'. Google beschrijft de kwetsbaarheid op zijn eigen beveiligingsblog. Daar stelt het bedrijf dat het op 21 oktober zero day-kwetsbaarheden aan zowel Adobe als Microsoft heeft gemeld. Vijf dagen later kwam Adobe met een patch voor het Flash-lek met kenmerk CVE-2016-7855. Microsoft bracht geen patch uit.

Google schrijft verder dat het daarom over is gegaan tot publicatie, wat in overeenstemming is met zijn beleid voor het melden van lekken die actief gebruikt worden. Daarvoor hanteert de zoekgigant zeven dagen in plaats van de gangbare zestig dagen om een patch te ontwikkelen. Bij het Windows-lek gaat het om een methode waarmee een lokale aanvaller door middel van privilege escalation aan de sandbox kan ontsnappen. Google beschrijft bovendien de win32k.sys system call waarmee de kwetsbaarheid gebruikt kan worden, maar treedt niet verder in details.

Bronnen melden aan Venture Beat dat de Windows-kwetsbaarheid alleen te gebruiken is in combinatie met het lek in Flash. Google raadt gebruikers aan om Flash te updaten en Windows-patches uit te voeren zodra deze beschikbaar zijn.

Door Sander van Voorst

Nieuwsredacteur

01-11-2016 • 07:28

215 Linkedin Google+

Reacties (215)

Wijzig sortering
Top dat deze ook omhoog gevote is, wou het zelf doen maar dat mag natuurlijk niet :P
Kijk, en hier verschillen we van elkaar.
Jij probeert een mening te doen overkomen als een feit, en dit is niet zo.
Ik wil niet op de man ofzo spelen maar jij zei het volgende:
En dat backporten is niet zo heel erg raar, M$ gebruikt vaak oude code, en "upgraden" dit, waardoor backporten niet zo heel erg moeilijk is.
Je stelde dit zelf als een feit en niet als een mening. Ik ontkrachtte die mening uit mijn ervaring als ontwikkelaar in grote complexe systemen. Elke goede ervaren ontwikkelaar zal altijd zeggen dat de moeilijkheid om iets te backporten over meerdere codebase die allemaal apart in support zijn niet onderschat moet worden en dat, zoals ik al zei, je het niet allemaal even zou kunnen "copy pasten". Tuurlijk zullen er gevallen zijn waar de fix wel makkelijk te backporten zal zijn maar er zijn zoveel dingen waar je rekening mee moet houden dat je het gewoon niet makkelijk kunt noemen.
Het is grappig hoe je je aangesproken voelt en mij aanvalt op mijn meningen, vind ik prima, maar je zal hier niet iemand zover mee gaan krijgen dat ze je willen doen geloven.
Ik voelde me helemaal niet aangesproken en viel je ook helemaal niet aan. Ik was het niet eens met jou stellingen en gaf dus een tegen mening en onderbouwde die met eigen ervaringen. Daarnaast stelde ik ook netjes een vraag om je duidelijker te begrijpen maar die heb je gewoon niet beantwoord.
Jou ervaringen en die van mij verwezenlijken zeer van elkaar, en dat is prima, misschien ben je gewoon een fanboy, niks mis mee, maar houdt je niet-feitjes voor je, of geef aan dat dit je mening is, want nu lijkt het allemaal alsof je het in mijn strot wilt duwen, en dat accepteren een boel mensen niet.
Mijn reactie was hetzelfde opgebouwd als die van jou. Ik reageerde namelijk op "feitjes" die jij in je reactie had neergezet. Het is een beetje meten met twee maten als ik die manier niet mag gebruiken maar jij wel.

[Reactie gewijzigd door Rutix op 2 november 2016 18:05]

Ik had niet voor niks "vaak" gezegd, gezien dat gewoon zo is.
Dat dat blijkbaar bij jou minder vaak gebeurd, dat kan, maar dat is niet hoe ik het ervaren heb.

MIjn punten zijn geen feiten, gezien ik duidelijk aangeef dat het uit mijn ervaring is, dat heb je blijkbaar uit de context gevist, moet je zelf weten, maar verdraai alsjeblieft niet mijn woorden door juist datgene eruit te laten wat duidelijk aangeeft dat dit een mening is.

Verder wil ik er geen woorden meer aan vuil maken.

Om maar een voorbeeld te geven:
https://www.security.nl/p...ok+Web+Access+te+omzeilen

Weer een exploit waar nog steeds geen fix voor is, en MS hier wel over is ingelicht ver van tevoren.
Dus ja, de werkelijkheid is gewoon dat Microsoft gewoon niet snel is, een boel van dit soort "workarounds" moeten worden gedaan, omdat juist Microsoft nog niet met een oplossing komt.

[Reactie gewijzigd door Power2All op 3 november 2016 12:38]

Ik begrijp het standpunt helemaal, maar Microsoft doet heus zijn best om dat tijdig op te lossen. Het moet ook goed getest worden en dergelijke. Nee, Google verkiest een patchperiode zonder testmogelijkheden? Zij bepalen de periode, is dat normaal? Blijft strafbaar voor mij.
Ik denk dat het openbaar maken van zoiets meer kwaad doet dan wachten op de patch. Nu iedereen weet hoe je dit moet doen, maak je het alleen maar erger. Hoeveel lekker zitten er nog in Android? Worden die allemaal gedicht? Zeker niet bij de oude toestellen, ik bedoel maar. Google zal het niet na laten om dit te publiceren, hun belang is echt niet om jou en mij te helpen...
Heb je gelijk in! :) Maar nog blijf ik het niet goed vinden dat Google hier bepaalt. Ze hebben er geen baat bij en de periode is ronduit belachelijk, zoals ik eerder vermeldde. Geen testperiode, amper analyse periode en ontwikkelperiode. Een bedrijf moet zich niet moeien met een ander zijn methode van werken. MS doet dit asap, Google doet enkel haatzaaien en brengt geen vordering in het proces..

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*