Microsoft: vroege publicatie Windows-lek door Google vormt gebruikersrisico

Ook bij Android staan sommige CVE een paar maanden open. Daarmee zeg ik niet dat Google niet goed omgaat met hun security, maar het is niet alsof Google altijd binnen een week een patch uitbrengt.

Dit kan echter nog veel beter.
Release Android Nougat:
-22 augustus 2016
Uitrol Android Nougat voor Nexus telefoons begonnen op:
-22 augustrus 2016
Hoelang kun je wachten op een update hier in Nederland?
Waarschijnlijk een maand of twee. Dit weet ik zelf uit ervaring, omdat ik ook Nexus apparaten heb gehad.
Microsoft heeft dit beleid gewoon een stuk beter op orde. Ik kreeg de anniversary update voor mijn Windows 10 Mobile telefoon een week na de release. Dat is nogal een verschil! Idem dito voor Apple. En na 18 maanden hoef je niet meer te verwachten dat je nog updates krijgt. Dat is bij Apple en Microsoft wel anders. De Nexus 5 is nieuwer dan de Lumia 930. Waarom krijgt de 930 dan wel Windows 10 en de Nexus 5 geen Android Nougat?

[Reactie gewijzigd door daanb14 op 1 november 2016 10:17]

En hoe lang krijg je updates voor je Nexus toestel? 18 maanden en dat tellertje loopt vanaf de release van het product, niet jouw aankoopdatum.

Het enige wat Google heeft gedaan om het probleem ietswat minder erg te maken is systeemapps loskoppelen van het OS (zoals de webviewer). Zoals hier al gezegd is, Google heeft het probleem zelf gemaakt. Als Google echt met security in zou zitten, zouden ze ook oudere versies van Android voorzien van updates en niet enkel de laatste nieuwe versie. Wat ze nu doen is met de vinger wijzen en het probleem niet oplossen.

Dat het een kritiek lek is, is het oordeel van Google. Bijkomend is Windows een zeer complex stuk software, daar rol je niet zomaar op 1 dag een patch uit. De acceptance testen alleen al zullen wel wat tijd in beslag nemen.

Dat MS sneller mag zijn met het uitrolen van patches, daar ga ik mee akkoord. Maar het is niet aan Google om een ander bedrijf te gaan dicteren hoeveel tijd ze zouden moeten nemen.

Microsoft monitord zelf gemelde exploits dankzij de bult data die Windows naar huis telefoneert. (Ook daarom is het van belang het niet allemaal eruit te slopen). Zodra een exploit actief misbruikt wordt en mensen er last van kunnen krijgen, gaat zo'n patch bijna linea recte de Windows Update in als geforceerde update. Maar voor hetzelfde geld is het volgens Google zo kritieke lek, helemaal niet zo kritiek (zoals de vorige keer, waarbij als ik het goed had, je achter het systeem moest zitten om daar gebruik van te maken naast dat je volgens mij zelfs admin rechten al nodig had.) volgens Microsoft.

MS heeft ondertussen wel wat ervaring opgedaan met security en hoe ze om moeten gaan met patches. Wie is Google om MS hierin te forceren? Helemaal aangezien Google het toonbeeld is van "hoe het niet moet".

Maar Google had zelf wel meer tijd nodig voor Stagefright, beetje meten met 2 maten.
De reden dat Google dus vooral aan het bughunten is om concurrent zwart te maken.

Wat een onzin kraam je uit zeg... Google heeft 3,5 jaar terug gecommuniceerd hoe het omgaat met kritische kwetsbaarheden. Je kunt het hier allemaal teruglezen. Daarin staat keurig omschreven dat Google een termijn van 60 dagen acceptabel vindt, maar dat het natuurlijk altijd beter is om een kortere termijn te hanteren. Google hanteert zelf een termijn van 7 dagen. Het is dus al 3,5 jaar hetzelfde, dus waarom je een dikke +2 krijgt voor absolute onzin is me niet duidelijk.

Het scheelt dat MS zich aan dat termijn hield en na 6 dagen met een patch kwam. https://technet.microsoft...ry/security/ms16-128.aspx Published October 27.

Dus Google houdt zich in dit geval ook niet aan hun eigen afspraken.

Als ik als automobilist op de weg zit, dan heb ik ook het recht om andere automobilisten op hun verantwoordelijkheden te wijzen. Zeker als ze een achterlichtje kapot hebben bijvoorbeeld.

Dat recht heb je, net zo goed als dat anderen het recht hebben jou mening naast zich neer te leggen, tenzij je een agent bent. Maar wie ben jij om anderen te vertellen hoe ze hun leven moeten leiden? (dat is een wat betere vergelijking dan iemand op hun fouten wijzen, er is hier door MS niet eens een fout gemaakt, want die hebben netjes 6 dagen na melding een patch klaar gezet). Tevens constateerde Google dat het lek actief misbruikt werd binnen Chrome, welke ze zelf al gefixt hadden. Buiten Chrome hebben ze geen kijk op tenzij ze allerlei OS informatie zoals wat je met Edge uitspookt naar huis aan het phonen zijn.

Ik weet niet wat je vlot noemt, maar een veiligheidslek dat er al 15 jaar of 19 jaar in zit noem ik niet vlot.

Ik hield op met lezen dat het een 15 jaar oude bug is in software wat net pas 10 jaar oud is en bij het schrijven van het artikel net 9. "15 jaar oude malware gevonden in alles vanaf Vista, welke gereleased is in 2006".

Maar elk OS heeft exploits en bugs in het systeem zitten die er al enige tijd inzitten. Over het algemeen, als het niet actief in het wild gebruikt wordt, worden zulke exploits niet snel gevonden. En degene die ze wel gebruiken (denk aan NSA e.d.) die hebben nog wel meer van dat soort zero-days op de plank liggen, en niet alleen voor Windows. Een OS is een complex geheel en laat Windows nou 1 van de meest complexe algemeen gebruikte OSen zijn (ik beweer niet beter) in verhouding tot een normale Linux distro of OSX, welke heel wat minder hardware ondersteunen en met minder functionaliteiten uit de doos komen.

Je mag het onbeschoft vinden. Wees in ieder geval blij dat er iemand is die met een stok achter de deur het door jou betaalde en door jou geliefde Microsoft op de huid zit. Veiligheid moet altijd voorop staan en je kunt het wel bagetaliseren en roepen dat het marketing is (en dat is het ook), maar wees blij.

Een stok achter de deur zetten != poging tot je concurent een hak te zetten, wat hier gebeurd.

Jij hebt verdikkeme betaald voor Microsoft Windows. Het is aantoonbaar lek en jouw leverancier komt niet binnen een redelijke termijn met een fix. En wat doe je...? Je gaat de boodschapper afblaffen. Raar.

Dus? Je betaald -hetzij indirect door tracking e.d, hetzij doordat de provider de ontwikkelkosten van Android in de prijs van een toestel incalculeerd- ook voor Android. In beide gevallen zit het op het product wat je doorgaans koopt, het overgrote deel van zowel de Android als Windows gebruikers, haalt de OSen niet los in huis.

Het probleem is ontdekt in Chrome. Het is wel een beetje onzin om te roepen dat microsoft beter weet wanneer chrome misbruikt wordt dan google.

Chrome heeft alleen een veel kleinere install base als Windows (Chrome op android en andere OSen niet meegerekend). Dus naja, op basis van 1 browser kunnen stellen dat het voor het hele OS geld.

Iedereen loopt de zeuren dat 10 dagen veel te kort is, maar actief misbruikte exploits worden vaak onmiddelijk gemeld, zonder enige wachttijd. Vaak wordt dan niet de exploit code publiek gemaakt en dat is ook hier niet gebeurd

Wat is actief misbruik? Een NSA die de exploit gebruikt om targets over te nemen of skiddies die er botnets mee bouwen?

De eerste is leuk en aardig, goed het toont aan dat het actief misbruikt wordt. Maar zo'n partij ga je niet buiten de deur houden met 1 exploit fix. Die pakken dan gewoon de volgende exploit uit het mapje WindowsExploits.

De tweede gaat Microsoft ook wel opmerken en als dat het geval is pushen ze updates ook. Maar gezien naar alle waarschijnlijkheid MS nog andere exploit fixes in de pijplijn heeft zitten is het altijd een afwezing van de beschikbare resources. "Zet ik heel mijn security en quality control teams in op deze enkele exploit?".

Als ze dat niet doen, wanneer doen ze het dan wel? 1 maand, half jaar?

Waaruit maak je op dat het straks 1 maand/half jaar is? Bron?

Waaruit maak je op dat het straks 24 uur is? Bron?

Een jaar geleden was het nog een maand, dit jaar nog maar 10 dagen. Als het elk jaar 75% korter wordt is het over 1.5 jaar al nog maar zo'n 24 uur.

Google vertelt ook helemaal niet hoe Microsoft haar security beleid moet uitvoeren, Google zegt alleen dat dit lek er is en dat er al misbruik van wordt gemaakt/

Op basis van wat? Microsoft monitored gemelde lekken gewoon zelf en zodra ze merken dat een lek misbruikt wordt, pushen ze patches eerder de deur uit. Wat ook wel eens gebeurd.

Google heeft met Android zelf helemaal geen slecht update beleid, de fabrikanten van de toestellen zijn degenen die het verpesten.

Dus ook maar tegen Lenovo of HP gaan zeiken dat hun Windows een veiligheidslek heeft? Want voor de meeste mensen is Windows ook maar een bijgeleverd product net zo goed als Android dat is. Maar bij de 1 ligt de schuld altijd bij de OEMs en bij de ander -wat er ook gebeurd- ligt de schuld altijd bij MS.... Vreemde redenatie.

Windows komt op de meeste computers voorgeïnstalleerd, Chrome niet. Wat dat betreft is het iets makkelijker voor de meeste gebruikers om andere browsers te gebruiken dan om een heel ander besturingssysteem te gebruiken (er zijn genoeg mensen in mijn omgeving die niet eens weten dat dat kan). Je bent vrij om Chrome te deïnstalleren hoor, als je dat nog niet gedaan had.

Ik gebruik Chrome niet, en mensen moeten het lekker zelf weten welke browser men gebruikt. Maar het ging mij om het hypocriete er van.

Google doet tenminste iets, een groot bedrijf zou voor zo'n lek binnen 10 dagen een update moeten uit kunnen brengen. Als ze dat niet doen, wanneer doen ze het dan wel? 1 maand, half jaar? Zeg het maar, maar ik heb dan liever dat ik weet hoe het zit dan dat ik over 6 maanden te horen krijg: 'Oh enneh, sorry dat we je een tijdje in gevaar hebben gehouden.'.

Want MS zit stil en doet niets? MS heeft een dusdanig slechte trackrecord betrekkende security patches dat ze wel even geforceerd moesten worden? Google heeft inzage in de interne processen bij Microsoft? Wie is Google om Microsoft de les te lezen over veiligheid en update beleid, vooral als ze zelf het voorbeeld zijn van hoe het niet moet.

Aan de andere kant roept Google nu ook tegen de eigenaren van de deur: "Hey, je deur staat niet op slot!", zodat gebruikers stappen kunnen ondernemen en bewust zijn van het feit dat de deur open staat. Wel zo handig als je weet dat er op dat moment inbrekers actief zijn in de buurt

Verplicht? Er is niks verplicht en zeker niet voor Google, die er totaal geen baat bij heeft. Is gewoon weer een typische anti-MS stunt van Google. Net zoals de YouTube app voor Windows Phone, waar ze plots vreemde eisen aan stellen die niet voor andere platformen gelden. Zou eigenlijk wel eens eens tunt van MS zien zitten die Google Chrome blokkeert op Windows... Het overgrote memerendeel van de Windows gebruikers zal toch niet overstappen naar alternatieve en Google krijgt een serieuze koek van eigen deeg, dat rotbedrijf in mijn ogen...

Er zit ook wel een ernstig verschil in grootte tussen de codebase van Flash en van Windows.
Denk je dat Adobe het in alle mogelijke combinaties heeft getest? Microsoft doet dat wel.

Geheimhouden is nog wel een optie, publiek bekend maken heeft vaak het effect dat het ineens veel erger wordt, terwijl Microsoft niet veel sneller kan.
Dat zou google als geen ander moeten weten sinds Stagefright (welke explosief steeg na bekendmaking in begin augustus, terwijl google er al van af wist sinds april dat jaar)

Het is toch niet Googles probleem dat Microsoft een patch niet op tijd kan uitrollen?

Week geleden nog nieuws bericht over een kritiek lek wat 9 jaar geleden gemeld was en pas dit jaar eindelijk gefixt werd.

Klop, klepel...

Dat was een kwetsbaarheid die wel bekend was, maar een manier om het te misbruiken ontbrak. Dat is pas sinds kort bekend, waardoor de kwetsbaarheid werd opgelost (op zeer korte termijn).

Een probleem van kwetsbaarheden oplossen is dat het backwards compatibility kan breken. Als een kwetsbaarheid niet misbruikt kan worden en het oplossen ervan drastische wijzigingen kan brengen, dan kan worden besloten om de kwetsbaarheid in de gaten te houden en niet meteen op te lossen. Vanaf bekendmaking kan je langzaamaan de afhankelijkheid van de kwetsbaarheid uitfaseren.

Van informatiebeveiliging wordt vaak gezegd dat het rust op confidentialiteit, integriteit en beschikbaarheid. Die laatste wordt wel eens vergeten, maar is net zo belangrijk.

Dit jaar wederom gefixed werd. Het probleem was al eens gepatched maar gaf problemen, dus is teruggedraaid. Daarna is het vergeten en heeft niemand er verder ook naar omgekeken omdat een klein groepje maar van 't bestaan afwist - totdat t recent door een groepje "herontdekt" werd in bepaalde versies, en t ook meteen binnen een dag of twee gepatched is...

Vind ik toch een nuance verschilletje met die 9 jaar.

Lekker daar gaan al je documenten die open stonden...

Een beetje office programma of text verwerker doet aan autosaving. Tevens gaat er net als bij linux een broadcast shutdown message het OS door waar software op kan reageren.

Bij Ubuntu kan je zelfs kernel patchen zonder reboot. http://news.softpedia.com...to-three-pcs-509417.shtml

Ten tijde van Windows Vista/7 was er een MSDN blog (ik kan het echt niet terug vinden) over een intern project dat ze hetzelfde beleid konden toepassen op NT. Maar hier is om verscheidene redenen niet voor gekozen. Geen enkel systeem is belangrijk genoeg dat het nooit herstart kan worden en als dat wel het geval is, heb je ergens in het ontwerp verkeerde keuzes gemaakt. Die laatste promille in het verbeteren van de stabiliteit is de moeilijkste, en je gaat natuurlijk geen risico toevoegen in ruil voor een beetje gemakzucht.

Live patchen van de kernel is leuk, maar handles naar security exploits kunnen open blijven staan. Alhoewel het sluiten van die handles wel te forceren is, maar dat schopt een deuk in je stabiliteit. Liever heb je natuurlijk dat een hacker op je up to date software kan inbreken omdat Apache net een handle van een geupdate lib gebruikt waar een exploit in zat en die handle is 2 maanden open blijven staan omdat je de bende nooit herstart "want: niet nodig". "Sorry dat al uw credit card data is gestolen, excuses hiervoor, ons IT team vond herstarten van de servers onzinnig".

Uiteindelijk moet je toch de hele bende herladen waardoor je net zo goed gewoon een herstart kan uitvoeren.

[Reactie gewijzigd door batjes op 1 november 2016 08:18]

Zoals in het artikel staat:

Bronnen melden aan Venture Beat dat de Windows-kwetsbaarheid alleen te gebruiken is in combinatie met het lek in Flash.

Maar is 10 dagen een redelijk tijd? Wat als Google nu 48 uur neemt in de toekomst? Is dat dan nog steeds redelijk?

Vrijheid van meningsuiting: iedereen mag ten alle tijden over kwetsbaarheden publiceren. Elke seconde die Google bovenop het moment van ontdekking doet is coulance. Of die 10 dagen redelijk zijn moet je ook zien vanuit het perspectief van de gebruiker: in dit voorbeeld werden de kwetsbaarheden al misbruikt. Langer de publicatie uitstellen zou de gebruiker niet helpen. De 10 dagen dienen ook als een drukmiddel voor de fabrikant, om de doofpot en uitstel door bureaucratie te voorkomen. Dit werkt overigens beide kanten op. Er staat Microsoft niets in de weg om kwetsbaarheden voor Google's producten te publiceren binnen een zelf gekozen termijn.

Met een goed ingericht proces denk ik dat Microsoft prima in 10 dagen tijd een patch kan uitbrengen, net zoals de fabrikanten van andere besturingssystemen dat kunnen doen (en vaak doen, zie Linux). Of Microsoft daarvoor de investering maakt is een andere zaak.

[Reactie gewijzigd door The Zep Man op 1 november 2016 08:05]

Als ik een product van jou wil afnemen waar ik voor moet betalen, kan je in inderdaad in de voorwaarden zetten dat die rekeningen binnen 10 dagen betaald moeten worden en dat er anders direct een incassobureau wordt ingeschakeld. En als ik dan toch besluit het product af te nemen, hebben we een geldige overeenkomst en mag je mij wettelijk aan die 10 dagen houden; daar heb ik tenslotte zelf voor getekend. Geen enkel probleem. En dus wel logisch.

Weer een analogie die de mist in gaat.