Is mij werkelijk een raadsel waarom MS eerder verontwaardigd reageerde op de publicatie van de gebreken als MS niet van plan is die gebreken te verhelpen omdat die van onvoldoende ernst zouden zijn.

Weer gevaarlijk spel van Microsoft. Bij bijna alle grotere ongelukken, zie je dat die meerdere oorzaken hebben. Meestal minimaal 3. Allemaal kleine dingen, samen 'naar'.
Fix die kleine dingen nou gewoon, het werkt in elk geval niet tegen je. Wat er nu gebeurt, is wel weer tekenend voor microsoft... Gelukkig is er een alternatief.

Grote organisaties hebben tijd nodig om de juiste mensen te vinden analyses ernst/impact te bepalen en dan onderbouwd te reageren. Beter iets goed onderbouwd te hebben dan voor de waan van de dag en al het geschreeuw te gaan.

Een Amerikaanse beveiligingsexpert heeft bijna een miljard Android-gebruikers die met Jelly Bean of een oudere versie van het mobiele besturingssysteem werken gewaarschuwd om de standaard meegeleverde browser niet meer te gebruiken en op andere browser over te stappen.
De reden is dat kwetsbaarheden in het WebView-onderdeel van de AOSP (Android Open Source Project)-browser niet meer door Google worden gepatcht.!Overal gatenkaas dus zowel bij MS als Google .

google denk weer dat google de baas is over het internet.

google=evil

En op ZD net staat dit weer http://www.zdnet.be/nieuws/160327/microsoft-dicht-beveiligingslekken-die-door-google-werden-onthuld/?utm_source=zd_beveiliging&utm_medium=newsletter&utm_term=20150120&utm_content=0_art_list&utm_campaign=weekly&spMailingID=7435033&spUserID=NTU2NTExMTMyMjcS1&spJobID=602445243&spReportId=NjAyNDQ1MjQzS0 welk nieuws is nu waar ?

Zeker na de reactie van vandaag van Microsoft!

Ik vindt het goed wat Google doet met betrekking tot het zoeken van zwakke plekken in software. Echter Microsoft heeft de hele ontwikkelstructuur om op een vast moment updates uit te brengen. Dat Micrsoft deze workflow niet aanpast, en goed onderbouwd bij Google om uitstel vraagt dan is Google star. Dit zegt meer over Google dan over Microsoft.

Merbaum

google is niet evil
het is een van de meest innoverende tech bedrijven die ik kan bedenken.
weet U dat google met een mobiele telefoon komt die je hardwarematig kan upgraden?

het is maar een voorbeeld.

Geen sterk argument: je bent niet evil, want je innoveert? Alsof mensen geen boosaardige dingen bedenken.

wat voor boosaardige dingen heeft google dan bedacht volgens U?

google mail?
google earth?
zelf rijdende auto?
google internet ( 1Gb en 1Tb cloud ) ?
nexus?
android?

zie ik de gemiddelde ISP of tech bedrijf waar dan ook niet doen,

En allemaal om het vergaren van data te vereenvoudigen.
Google heeft naast bovengenoemde ook streetview, search en vele andere diensten waarbij inkomsten door gerichte reclame verkregen wordt.

Google weet ondertussen alles van iedereen, de beetjes wat ze niet weten komen ze te weten zodra je betaald met Google-pay en rijdt met de Google auto.
Voor je het weet zie je tijdens het rijden in de auto overal reclame, op de weg hoef je niet meer te letten.

Ze passen allebei hun workflow niet aan, ze zijn allebei star.

Het gaat overigens wel over een termijn van 90 dagen, bijna drie maanden. We hebben het hier niet over twee weken. Dat is een periode waar gegarandeerd twee patchmomenten van Microsoft in vallen, en dat betekent dat in het ongunstigste geval Microsoft nog altijd een maand de tijd heeft om een gemeld lek te repareren. Ze hebben daar slimme mensen rondlopen, die kunnen dat rekensommetje ook maken.

Toen ik als softwareontwikkelaar voor een bedrijf werkte waar beveiliging er serieus toe deed (iets heel anders dan Microsoft, overigens) was mijn instelling dat beveiligingsproblemen die zich aandienden direct werden opgelost. Dat lukte meestal dezelfde dag nog (vaak zelfs binnen een uur of twee), maar niet altijd. Maar een maand? Ja, het is voorgekomen dat zoiets langer dan een maand duurde, maar dat had niets te maken met wat ontwikkelaars konden, dat lag aan een PHB-achtige manager die actief blokkeerde dat eraan gewerkt werd omdat hij op dat moment alleen op kosten wilde hameren en het daarbij opportuun vond om risico's te bagatelliseren.

Een maand is erg veel tijd als je iets als een kritiek probleem behandelt waar capaciteit voor vrijgemaakt mag worden ten koste van lopende projecten. Als je dan niet op zijn minst een tijdelijke oplossing kan produceren dan moet je denk ik vooral kritisch naar je eigen werkwijze en prioriteitstelling gaan kijken, en niet op een externe partij gaan mopperen.

De starheid die Google hier toont heeft een functie: die houdt anderen scherp (en hopelijk ontziet deze club binnen Google Google zelf niet). Dat is het hele punt van lekken publiek maken, dat is ontstaan als reactie op bedrijven die zonder slechte publiciteit er domweg niets aan deden. Als je vervolgens toestaat dat die grenzen steeds verder opgerekt worden dan gaat dat ten koste van het positieve effect. Ergens een harde grens stellen heeft daarom zin, en ik vind 90 dagen eerder opvallend ruim dan te krap.

Je vergeet even dat patches van jouw bedrijf "slechts" applicatie-patches zijn.
Die van MS grijpen vaak diep in op het OS.
Die moeten toch wat grondiger onderzocht en getest worden.
Als een applicatie-patch niet goed geschreven is, help je hooguit die appl. zelf om zeep. Je pc werkt dan nog en je kan relatief eenvoudig e.e.a. herstellen.
Als door een MS-patch heel windows om zeep wordt geholpen, heeft dat veel grotere gevolgen.

MS had begin januari al aangeven dat 2 van die patches al klaar waren. Ze wachtten alleen op de publicatie op patch-tuesday.
Het argument van "ze doen er niets aan" gaat juist hier niet op.
Overigens gaat die wel op die laatste paar bugs waarvan MS gezegd heeft dat die niet worden gefixed.

Google heeft 3x info gepubliceerd over bugs.
Op 2 januari, 11 januari en van de week.
Die eerste 2 zijn gefixed, de laatste niet.

Wij consumenten/gebruikers/adspirant-kopers/gebruikers EISEN dat de lekken in zowel Microsoft Windows als in Android en andere belangrijke software zoals routers,maar ook Adobe Reader,Adobe Flashplayer,Oracle's Java e.d. onmiddelijk dan wel z.s.m.worden gepatched.Wel ons de apparaten en software aansmeren maar dan lekken patchen..ho maar! De consumentenbond en andere consumentenorganisaties moeten onmiddelijk in actie komen om grote druk uit te oefenen op met name Google en Microsoft om de genoemde lekken z.s.m. te patchen.Elke dag uitstel betekend meer gecompromiteerde pc's en android smartphones! Ook de overheden en de EU moeten druk uitoefenen. op Microsoft en Google om de patches realiseren! Ondertussen blijft het belachelijk dat er geen echt alternatief voor windows is (even de open source software van ubuntu Linux,de Chromebooks (te beperkt en bovendien eveneens Amerikaans)) en de Apple Mac's (te duur en eveneens Amerikaans, niet meegerekend). En hetzelfde geld voor Android: Windows phone is waarschijnlijk ook een gatenkaas,Blackberry heeft schijnbaar al afgedaan,dus wat voor alternatief is daar nog op smartphone-gebied? Waarom is er nog geen Europees besturingssysteem voor zowel de pc als voor een smartphone? Waarom moeten we kiezen voor Amerikaans of voor Chinees? Zijn er geen Europese IT-experts die een besturingssysteem voor de pc en/of smartphone kunnen ontwikkelen!?

Nee hoor, dat vergat ik niet.

Stel dat het niet Google was geweest die deze lekken ontdekt had maar ze op grote schaal misbruikt werden. Zou je het dan acceptabel vinden als Microsoft er pas na drie maanden iets voor naar buiten bracht? En als ze dan wél in staat zouden zijn om sneller met desnoods een noodverbandje op de proppen te komen dan moet je je ernstig afvragen waarom ze het zoveel minder belangrijk maken als een partij die het lek niet misbruikt het meldt.

En wat betekent het dat iets diep ingrijpt in het OS? Denk je dat dat een kluwen spaghetti is waar alles op onnavolgbare manieren alles beïnvloedt? Het zal niet ideaal zijn, maar ook bij Microsoft zal men weten dat je complexiteit alleen maar in de klauwen kan houden als je functies zo goed mogelijk isoleert, de bindingen ertussen zo smal mogelijk houdt en componenten al helemaal niet afhankelijk maakt van elkaars interne werking. Principes over cohesie en koppeling zijn al in de jaren '60 geformuleerd, die zijn ouder dan Microsoft. Een fout in het OS is als het goed is een fout in een specifiek deelsysteem van het OS dat aanzienlijk kleiner is dan het geheel. Dat er desondanks lastige fouten kunnen optreden is evident. Dat je in 30 dagen niet op zijn minst een voorlopige oplossing kan presenteren vind ik een stuk minder evident.