Sicherheit: Google veröffentlicht wieder ungepatchte Windows-Sicherheitslücke
von caschy | 31 Kommentare
Vor ein paar Tagen erst gab es eine Diskussion um Sicherheitslücken in Windows, beziehungsweise deren Offenlegung. Normalerweise nutzen die Google-Mitarbeiter, die eine Sicherheitslücke finden, ein 90 Tage-Fenster. Heißt: finden sie eine Lücke, wird der Hersteller informiert, dass dieser Zeit hat die Lücke zu schließen. Im Falle der Diskussion ging es darum, dass Microsoft die Lücke nicht schloss, Google diese aber öffentlich machte und so laut den Kritikern „Millionen Nutzer“ gefährdete.
Bei Google Security Research wurde zwischenzeitlich ebenfalls diskutiert, ob man eine solche Lücke, die Millionen von Nutzern betrifft, tatsächlich öffentlich machen sollte. Diese Diskussion gab es bereits, als Google die 90-Tage-Frist einführte. Google scheint dennoch an der 90-Tage-Frist festzuhalten, denn man hat eine weitere Lücke offengelegt, die noch nicht geschlossen ist. Sie betrifft Rechner, die mit Windows 7 oder Windows 8.1 ausgestattet sind. Microsoft hatte die Lücke schließen wollen, musste aber noch nacharbeiten – Google störte dies anscheinend nicht, Nutzer sind nun noch ein paar Wochen von der Lücke betroffen. (via HackerNews)
Wird geladen ...
Sollte von Google doch zu schaffen sein, in 4 Monaten eine Lücke ohne weitere Bugs zu schließen:
http://www.zdnet.de/88215864/google-laesst-sicherheitsluecken-aelteren-android-versionen-ungepatcht-930-millionen-nutzer-betroffen/
@dischue: Die Lücke ist gepacht, das update heißt Android 4.4… Die Hersteller verteilen es blos nicht!
..dumm gelaufen, muss man sich eben ein neues Gerät kaufen.
MS muss aber alles patchen – ob XP, 7 oder 8? ob Server oder sonstwas?
Irgendwie wäre es doch nett, wen Google die „älteren“ Systeme auch noch unterstützen würde. Wenn Google aber entscheidet, das nicht zu machen, dann ist das also ok? Schließlich könnte ja die Community was machen…
Vielleicht könnte das MS genau so machen, sollen doch die PC Hersteller für einen Patch sorgen…? (Schön für die, die den PC selbst zusammenstellten…)
Mag nicht ganz das Selbe sein – trotzdem. Googles Antwort ist also : nehmt das aktuelle System – oder kauft neu. Ansonsten sind die Hersteller schuld.
So wäscht man seine Hände in Unschuld
Wieso hilft Google Microsoft ? Sollen die doch an den Bugs eingehen, oder stören die ganzen Zombie-Rechner der Windows DAU’s???
M$ hat noch sehr viele OS aktiv um Patches dafür zu enwickeln und zu testen, allerdings sollten und müssen die genügend Programmierer, Testsoftware und Tester haben um dies abzudecken.
Schade das es eine solche Sicherheitsinitiative nicht schon ein Jahr früher gab, dann hätte M$ bei XP noch reichlich an Patcharbeit vor sich gehabt. So hat man XP aus dem Support genommen und teils ein Jahr alte Lücken offengelassen (nur um nacher mit den Sicherheitslücken für Umstieg auf Win8 zu werben).
@Denniss:
so macht Google es doch auch – nur dass Android Versionen wesentlich schneller veralten, als Windows. Patch? kann sein, kann auch sein, das Google sagt: installiert die neueste Version – und wenns der Hersteller nicht ermöglicht, dann eben Pech.
@ Jakob
Windows 7 hat auch ein Patch bekommen auch wenn es älter als 2 Jahre ist und ich muss keine neue Hardware kaufen 😉 bei Gogol ist kein Patch vorhanden für 4.3 und muss neue Hardware nach 1,5 Jahren kaufen. Das währe so ob Windows 8 kein Patch bekommt sondern nur Windows 8.1. 😛
Also Hirn einschalten Zellen bemühen dann kommentieren, aber naja was kann man von einem Android belasteten News Seite auch an Kommentaren erwarten.
@dischue: Es wäre schön gewesen, wenn du meinen Beitrag genau gelesen hättest. Ich hatte explizit vom Patch vom Wochenende geschrieben, nicht vom neuen Patch.
Und die Hinweise darauf, daß Google Sicherheitslücken auch nicht immer zeitnah schliesst ist zwar berechtigt, aber wohl kaum geeignet, Microsofts Fehler abzuschwächen.
„Der macht das doch auch“ war schon im Sandkasten ein schwaches Argument 😉
@esque:
ok, da war mir der Bezug tatsächlich nicht ganz klar.Was mir nur ein wenig gegen den Strich geht ist der Umstand, dass es hier wohl viele für selbstverständlich zu halten scheinen, dass MS eine jede Sicherheitslücke in 90 Tagen schließen kann und das auch noch für die diversen Systeme.
Google wird hier als der weisse Ritter dargestellt.
Ich habe nichts dagegen, wenn man öffentlich macht, das es bei MS eine Sicherheitslücke gibt – aber muß man dazu gleich ein Exploit veröffentlichen? hätte nicht erstmal der dezente Hinweis genügt, dass bereits 3 Monate um sind aber noch kein Patch da ist?
Das Sicherheitslücken bei Google die bei MS/Windows nicht entschuldigen, ist klar – aber wie würde Google reagieren, wenn MS da genau so vorgehen würde?
Ich wage nicht zu beurteilen, ob so ein Patch wirklich so einfach und schnell zu bewerkstelligen ist, wie hier einige annehmen.
So wird bei MS ganz selbstverständlich davon ausgegangen, das jedes noch so alte OS (also mindestens die letzten 3 – was bei Windows einen Zeitraum von ca. 10 Jahren ausmacht – und jede noch so exotische Hardware) untertützt wird – während man bei Google mehr oder weniger leicht achzelzuckend zur Kenntnis nimmt, dass man eben neu kaufen muß, wenn das System 1 oder 2 Jahre alt ist. Das ist das was ich irgendwo mit unterschiedlichem Maß messen meinte.
Da Windows auf viel mehr (unterschiedliche) Systemen läuft hat es MS in dieser Hinsicht wahrscheinlich schwerer, als Android oder Apple.
Das die Fehler des einen nicht die des anderen entschuldigen ist klar – und sicher ist MS auch kein Heiliger, kann aber nicht schaden, mal ein wenig die Verhältnisse mit zu betrachten.
@esque:
da war mir dann Dein Bezug tatsächlich nicht so ganz klar.
Ich wollte auch nicht MS Versäumnis oder die lange Dauer mit den Versäumnissen Googles entschuldigen, das eine entschuldigt nicht das ander. Evtl wäre es aber zunächst besser gewesen, man hätte öffentlich dezent darauf hingewiesen, dass es immer noch keine Patch gibt, statt gleich noch ein Exploit zu veröffentlichen.
Was mir ein wenig gegen den Strich geht ist, das manch eine(r) so tut, als wäre Google der weiße Held und Sicherheitslücken gebe es nur bei MS.
Von MS wird irgendwie wie selbstverständlich erwarten, dass die letzten 3 OS in all ihren Unterversionen (also ca 10 Jahre) noch updates und Patche erhalten während man bei Google/android lediglich achselzuckend zur Kenntnis nimmt, das man nach 1-2 Jahren was neues Kaufen muss, weil es sonst keine Updates mehr gibt.
Ich weiß nicht, ob es wirklich so trivial ist, so eine Patch zu erstellen und ob es da nicht eine Menge zu beachten gibt – gerade wg. der vielen OS-Versionen und der unüberschaubaren Vielfalt an Hardwarezusammenstellungen. Da haben es Android und Apple doch leichter mit ihren überschaubareren Hardware-plattformen.
Man muss mit MS nicht gerade Mitleid haben – aber vielleicht sollte man das alles mal in Relationen sehen.
@dischue,
lass die, die über Microsoft motzen ruhig weitertrollen, und ignoriere sie einfach.
@an den Rest, die über Microsoft herziehen, und Google in den Himmel loben. Wenn ihr noch nie ein Betriebssystem samt eigenen entwickelten Kernel (nichts da Linuxkernel oder sonstige Unix basierten Kernel) komplett fehlerfrei und komplett ohne Sicherheitslücken entwickelt und geschrieben habt. Und sonst keine Ahnung von Betriebssystem- und Softwareentwicklung habt, dann haltet einfach mal den Mund.