Windows 8.1-Lücke: Microsoft zählt Google an
Vor nicht allzu langer Zeit kommunizierte Google eine Sicherheitslücke in Windows 8.1-Systemen. Ein Google-Mitarbeiter fand diese, gab dem Redmonder Unternehmen 90 Tage Zeit und veröffentlichte dann Details. Das Problem dabei: zum Zeitpunkt der Veröffentlichung war die Lücke nicht geschlossen, was Microsoft dazu brachte, sich dazu zu äußern.
Zwar habe sich Google an den angekündigten Zeitplan erhalten, dennoch kommt die Offenlegung der Lücke den nahe, was man wohl mit dem „Zeigefinger zeigen“ beschreiben könnte. So wusste Google, dass der Patch unmittelbar bevorsteht, dennoch habe man sich entschieden, die Lücke vorab zu kommunizieren, was unter Umständen Benutzer der Software noch mehr gefährden könnte. Microsoft teilt mit, dass man glaubt, dass das Richtige für Google nicht immer das Richtige für Kunden ist. Klartext: man fordert Google auf, den Schutz der Kunden zum gemeinsamen Hauptziel zu machen.
Bei Google Security Research wurde zwischenzeitlich diskutiert, ob man eine solche Lücke, die Millionen von Nutzern betrifft, tatsächlich öffentlich machen sollte. Diese Diskussion gab es bereits, als Google die 90-Tage-Frist einführte.
Dass der Patch etwas länger brauchte, erklärt Microsoft mit Testläufen, die man durchführen musste, um negative Auswirkungen des Patches auf die Umgebungen der Kunden zu verhindern.
Eure Meinung zum Thema? Knallhartes „Pistole auf die Brust setzen“ und die 90 Tage-Regel einhalten, oder doch eher im Sinne des Kunden Stillschweigen bewahren, bis der Patch veröffentlicht wurde?
Der Link will irgendwie nicht ^^
90 Tage warten, dann veröffentlichen ganz klar.
Bei sowas darf es keine Gnade geben, wenn Microsoft den Patch nicht schnell genug entwickelt bekommt, sollten Sie sich Gedanken über die Arbeitsabläufe machen.
Das fasst es sehr gut zusammen:
http://blog.erratasec.com/2015/01/a-call-for-better-vulnerability-response.html
Google soll sich mal an die eigene Nase fassen und den Druck an ihre Partner/Hardware-Hersteller weitergeben, die in Android keine Lücken schliessen und keine neuen Firmwaren raus geben. Da sind unzählige Smartphones mit großen Lücken im Umlauf, wo Google nichts dagegen macht!
Die Pistole auf die Brust ist im richtigen Maß ja nicht verkehrt, sonst passiert am Ende gar nichts. Aber dann sollte man vielleicht eher über zwei Stufen nachdenken…90 Tage…dann nochmals 30/60 Tage und danach erst die Veröffentlichung. Gerade beim Qualitätsmanagement können ja noch Dinge auffallen und Micrsoft hat wegen fehlender Überprüfung in der jüngsten Vergangenheit ja schonmal 2-3 Patches zurückziehen müssen.
WTF? Ich hätte ihnen 10 Tage gegeben! Von einer Firma wie MS kann man erwarten dass sie in ein paar Stunden einen popeligen Sicherheitspatch auf die Reihe kriegen. Wenn ihnen die Sicherheit der Kunden am Herzen läge, hätten sie das auch getan. Selbst Debian ist da schneller.
Gab es von MS denn Feedback über den Entwicklungsstand an Google? Wenn M$ sich kurz bei Google gemeldet hätte, dass der Patch am 13.01. veröffentlicht wird, hätte Google wohl die Füße stillgehalten. Oder etwa nicht?
@Bachsau: ich hoffe, dass ist nicht dein Ernst!?
Generell bin ich ja für dieses Pistole auf die Brust setzen, aber in dem Fall war das einfach arschig. Wozu setzt man die Pistole auf die Brust, wenn man weiß, dass der andere doch längst handelt? Wenn Google wusste, dass der Patch in Entwicklung ist und in Kürze kommt, hätten sie die Füße still halten müssen, denn die Veröffentlichung ist dazu da, um den anderen zum handeln zu bewegen und das war hier längst geschehen. Google macht sich immer unsympathischer… Soviel zu »Don’t be evil«
@eltomato,
er hat garantiert null Ahnung von Programmierung, und wenn er programmiert, sind seine Programme bestimmt nicht so komplex wie Windows, Microsoft Office und anderen komplexeren/größeren Programmen.
Wenn man jetzt Microsoft statt 90 Tage vielleicht 120 Tage Zeit gelassen hätte, dann würde beim nächsten Mal eh mit 120 Tagen gerechnet werden..
und dies geht dann so weiter
Ich denke nicht, dass noch länger zu warten „im Sinne des Kunden“ wäre.
Nur weil Google die Lücke damals entdeckt hat, heißt nicht zwangsläufig, dass nur Google sie seit Monaten kennt und sonst niemand. Im „Sinne des Kunden“ ist es, dass Patches zeitnah zur Verfügung stehen.
Eine Firma wie Microsoft sollte dazu in der Lage sein. Wenn das länger als drei Monate dauert, stellt sich eher die Frage, ob sie nicht wollen oder nicht dürfen?
Dabei ist zusätzliche, öffentliche Aufmerksamkeit sicher nicht verkehrt. Google hat alles richtig gemacht.
@Bachsau: Schon mal den MS Quellcode gesehen? Schon mal die Größe eines Quellcodes für ein ganzes System realisiert? Nach der Aussage… denke ich nicht. In einem Betriebssystem spielen alle Komponenten eine gewisse Rolle und werden von vielen weiteren Komponenten verwendet. Wenn sich jetzt Komponente X wegen einem Patch anders verhält, haben A,B,C und Z ein Problem, weil sich ein erwarteter Input vielleicht ganz gewaltig verändert. Dies beeinflusst dann Komponenten I,J,K,L und M, die auf den vorigen aufbauen uswusw. Dann läuft plötzlich was entscheidendes von MS oder einem anderen Hersteller nicht mehr. 10 Tage, um das alles zu prüfen? Guter Witz!
90 Tage sind für ein Unternehmen wie Microsoft eigentlich genügend Zeit, wer innerhalb von 3 Monaten mit seiner Entwicklungsabteilung nicht auf eine Sicherheitslücke reagieren kann, dem sind doch seine Kunden eh egal. Ewiges Warten birgt ja auch das Risiko, dass die Lücke nochmal, diesmal aber vom Schwarzmarkt, entdeckt und ausgenutzt wird.
Ich finde es unpassend von „Pistole auf die Brust setzen“ zu reden, während Microsoft bewusst mit dem Sicherheitsrisiko der Kunden spielt. 3 Monate. Notfalls muss man das halt zunächst grob patchen oder gar die Funktion kurzzeitig deaktivieren und Kunden informieren.
Hier hat sich Caschy schon ziemlich von Microsoft und ihrem „Denkt doch an die Kunden“ blind machen lassen, während Microsoft letztendlich vor allem schlechte PR vermeiden will. Es ist ja nicht so, dass eine Sicherheitslücke nur einmal gefunden wird …
@geeg: Schreib doch nicht so einen Unsinn. Die Pistole sind meine Worte, die nicht mal negativ besetzt sind.
„Hier hat sich Caschy schon ziemlich von Microsoft und ihrem “Denkt doch an die Kunden” blind machen lassen, während Microsoft letztendlich vor allem schlechte PR vermeiden will.“
Ich schreibe, was Microsoft kommuniziert, behaupte doch nicht, dass es meine Meinung ist. Also: lesen, Meinung zum Thema als solches bilden und nicht meine Meinung interpretieren.
Zwar habe sich Google an den angekündigten Zeitplan GEHALTEN, dennoch kommt die Offenlegung der Lücke DEM nahe, was man wohl mit dem “Zeigefinger zeigen” beschreiben könnte.
@caschy: In meiner Wahrnehmung ist „Pistole auf die Brust setzen“ schon sehr anrüchig besetzt. Ebenso wie „knallhart“ statt „strikt“ oder „konsequent“. 😉 Aber dann habe ich dich wohl falsch verstanden. Bei deinem „eher im Sinne des Kunden Stillschweigen bewahren“ sieht es halt schon so aus, als wärst du für diese Option.
Fix mal den Link, bitte, danke. Da hängt noch ein halber Absatz drinnen.
@geeg: der Link wurde vor meinem Kommentar bereits gefixt, hängt vtl. noch im Cache. Zur Sache: Pauschal ist mir pers. A oder B zu kurz gedacht, kommt wohl auf den Fall an.
Hier sollte man generell wahrscheinlich nicht alles Bugs verallgemeinern, sondern von Fall zu Fall unterscheiden. Es sollte mit Veröffentlichung gedroht werden, damit das Unternehmen sich nicht zu lange Zeit lässt. Bei gravierenden Bugs, brauch es unter Umständen aber allein 30 Tage zum Testen. Wenn sich dann noch ein Problem auftut kommt man schnell ans Ende der 90 Tage.
Hier hilft eigentlich nur Transparenz der Abläufe. Vielleicht wäre ein System zum Melden und zur Einsicht des aktuellen Status für den Melder sinnvoll. Hier könnte mann dann auch nachfragen oder Kommentare zum Bug verfassen. So hätten alle Beteiligten kommunizieren können, dass der Bug so gut wie behoben ist und lediglich noch das Testing aussteht.
War vielleicht etwas vorschnell von Google, aber diese 90 Tage Praktik ist ja vornehmlich wegen solcher Konzerne wie Microsoft ins Leben gerufen worden, da diese sich einfach – trotz Meldung – ewig für Bug Fixes Zeit gelassen haben. Die berüchtigte zweiseitige Medaille 😉
@ Bachsau: Das ist so ziemlich das traurigste was ich seit langem lesen durfte…
@Daniel Reimer: Wieso witz? Wir reden hier ja nicht vom refactoring ganzer Systeme, sondern von einem Sicherheitspatch. Das sind in der Regel ein bis 5 Zeilen fehlerhafter Code oder eine zusätzliche Überprüfung, die sonst keine Nebenwirkungen hat, außer für den Exploit. Die Gefahr die durch so eine offene Lücke verursacht wird ist in jedem Fall höher zu bewerten als jedes kleine Problem das mit größter Wahrscheinlichkeit nicht auftritt. Bei sowas reichen Schnelltests.