image

Google onthult opnieuw beveiligingslek in Windows 8.1

maandag 12 januari 2015, 16:37 door Redactie, 10 reacties

Google heeft opnieuw een lek in Windows 8.1 onthuld waar nog geen update van Microsoft voor beschikbaar is. Via de kwetsbaarheid kan een aanvaller die al toegang tot een systeem heeft zijn rechten op de computer verhogen. Het openbaar maken van de details zorgde voor een felle blogposting van Microsoft. Het lek werd in oktober door Google aan Microsoft gerapporteerd, waarna de softwaregigant 90 dagen de tijd kreeg om het probleem op te lossen.

In december liet Microsoft aan Google weten dat het in februari van dit jaar met een update zou komen. De automatische deadline van 90 dagen die Google hanteert zou echter inhouden dat details van de kwetsbaarheid twee dagen voor het verschijnen van de update bekend zouden worden. De deadline verliep namelijk op 11 januari, terwijl de update op 13 januari verschijnt.

Microsoft kreeg daarbij te horen dat deadline voor geen enkele leverancier wordt aangepast. Eerder maakte Google eind december een lek in Windows 8.1 openbaar. Mogelijk dat beide problemen die door Google werden ontdekt ook bij andere Windowsversies spelen, aangezien die niet door de zoekgigant zijn getest.

Reacties (10)
12-01-2015, 16:40 door Anoniem
Krijg je als je iedereen die Android verkoopt aanklaagt...
12-01-2015, 16:52 door Anoniem
Een betere reactie op het huilie huilie bericht van MS, had Google niet kunnen verzinnen.
12-01-2015, 18:02 door Erik van Straten - Bijgewerkt: 12-01-2015, 18:04
12-01-2015, 16:52 door Anoniem: Een betere reactie op het huilie huilie bericht van MS, had Google niet kunnen verzinnen.
+1
Een essentiële concessie van responsible disclosure (t.o.v. full disclosure) is de termijn waarna gepubliceerd wordt. Als de leverancier niet mee wil werken kunnen gebruikers zichzelf verdedigen. Desnoods door een ander besturingssysteem te kiezen.

Als je die termijn gaat oprekken omdat (indirect) aandeelhouders dat willen, is het eind zoek. Niet zwichten draagt eraan bij dat software veiliger wordt, uiteindelijk doordat ook aandeelhouders het nut ervan in zullen zien.
12-01-2015, 19:00 door mcb - Bijgewerkt: 12-01-2015, 19:06
De deadline verliep namelijk op 11 januari, terwijl de update op 13 januari verschijnt.
Google wil dus eigenlijk zeggen dat MS, juist omdat ze een vaste patch-tuesday hebben, een deadline heeft tussen 61 en 89 dagen.

Of dat MS hun patch-tuesday maar overboord moeten gooien omdat ze anders niet aan googles eisen voldoen.
Of wel een vaste patch-tuesday maar alleen de door google gemelde bugs, updates tussendoor.
12-01-2015, 19:19 door Anoniem
Laten we maar zeggen dat die grote jongens een spel spelen om elkaar zwart te kunnen maken. En google heeft een zwakke plek bij MS gezien met dat ontbinden van het Q&S ensurence team.
Prima om elkaar scherp te houden. Alleen nog "collateral damage" de gewone gebruiker zien te vermijden.

Kan heel positief uitpakken de controleur/auditor is te vinden bij de concurrent. Eigen vlees keuren is niet de beste aanpak voor kwaliteit. Nu nog een paar kwaliteits-eisen voor dat process, die horen er bij.
13-01-2015, 00:29 door Eric-Jan H te D - Bijgewerkt: 13-01-2015, 01:49
Prima wanneer dit soort bedrijven elkaar in de haren vliegen. Zolang er geen doden vallen worden hun producten en hun actiebereidheid er hoogstwaarschijnlijk wel beter van.
13-01-2015, 10:46 door Mysterio
Door mcb:
De deadline verliep namelijk op 11 januari, terwijl de update op 13 januari verschijnt.
Google wil dus eigenlijk zeggen dat MS, juist omdat ze een vaste patch-tuesday hebben, een deadline heeft tussen 61 en 89 dagen.

Of dat MS hun patch-tuesday maar overboord moeten gooien omdat ze anders niet aan googles eisen voldoen.
Of wel een vaste patch-tuesday maar alleen de door google gemelde bugs, updates tussendoor.
90 dagen lijkt me helemaal niet onredelijk en als Microsoft een beetje normaal tegen Google doet dan kunnen ze heus wel een dagje wachten met het publiceren. Microsoft staat echter niet bekend om de nette reacties op het melden van een lek.
13-01-2015, 11:01 door Anoniem
Door Mysterio:
Door mcb:
De deadline verliep namelijk op 11 januari, terwijl de update op 13 januari verschijnt.
Google wil dus eigenlijk zeggen dat MS, juist omdat ze een vaste patch-tuesday hebben, een deadline heeft tussen 61 en 89 dagen.

Of dat MS hun patch-tuesday maar overboord moeten gooien omdat ze anders niet aan googles eisen voldoen.
Of wel een vaste patch-tuesday maar alleen de door google gemelde bugs, updates tussendoor.
90 dagen lijkt me helemaal niet onredelijk en als Microsoft een beetje normaal tegen Google doet dan kunnen ze heus wel een dagje wachten met het publiceren. Microsoft staat echter niet bekend om de nette reacties op het melden van een lek.

Of te wel. Leer programmeren en zet geen onveilige rommel op de markt. En als er toch onverhoopt iets mis is, zorg dat je processen zo werken dat je het snel (detecteert en) oplost.

En dat is toch echt niet zo moeilijk om je processen zo in te richten dat je functionaliteit (dus ook security) test alvorens je het uitbrengt. Gewoon beginnen met een (security) architectuur a la SABSA.
16-01-2015, 09:21 door Anoniem
Man, man, man...... Echt..... Ik kan hier met mijn pet niet bij (bij de houding van M$ dan).
- Als eerste verkopen ze een beta product aan de klant.
- Vervolgens krijgen ze gratis bugs aangeleverd die ze zelf al hadden moeten vinden en oplossen voor ze het product uberhaubt in de markt gingen zetten.
- Het enige dat ze als tegenprestatie moeten doen is die bug binnen 90 dagen oplossen.
- En omdat ze zelfs dat niet kunnen gaan ze lopen piepen dat de vinder van de bug onverantwoordelijk bezig is [faal]

Nee M$, probeer nu niet oorzaak en gevolg om te draaien, jullie brengen gebruikers zelf in gevaar door z'n bug niet gewoon met gezinde spoed te fiksen. Niet de vinder die hem na 90 dagen openbaart!
28-01-2015, 06:37 door Anoniem
Windows is al van af het begin een gaten kaas
zo lek als en zeef
Al dus de ontwikkelaars van LINUX
Het is al jaren terug bewezen dat je veiliger kunt werken met de GRATIS LINUX als met Windhoos
De meeste bedrijven gebruiken al Jaren LINUX servers om dat deze gewoon veel stabieler zijn
ook zou de consument beter af zijn met LINUX alleen zijn er teveel software producten welke niet worden ondersteund door LINUX
Met de komst van Android laten de ontwikkelaars van LINUX Windhoos ver achter zich
eindelijk het bewijs dat Windhoos alleen maar groot is geworden door haar manier van Opdringen van software
Stap voor stap slaat LInux Windhoos uit het veld
Elk stukje software van Microsoft heeft een tegenhanger voor LINUX
een voorbeeld hier van is Microsoft Office een peperduur Programma van Windhoos
wat je eenvoudig kunt vervangen met de gratis OPEN OFFICE
gelukkig begint de eind gebruiker nu pas in te zien dat die Windhoos shit zooi is
Ubuntu LINUX voor je PC is gratis en beter als Windhoos
en steeds meer software word nu ook door LINUX ondersteund
LINUX is net als IOS van appel UNIX based en daar door gewoon veel beter te Programmeren

dus deze ophef is brullen over een oud Probleem wat Microsoft nooit opgelost zal krijgen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.