Google og Microsoft fortsætter strid om sårbarheder: Google afslører nye sikkerhedshuller

19. januar 2015 kl. 16:2919
Google og Microsoft fortsætter strid om sårbarheder: Google afslører nye sikkerhedshuller
Illustration: Jesper Stein Sandal.
En sårbarhed, der skulle have været lukket i Microsofts opdateringscyklus i januar, men måtte udskydes på grund af kompatibilitetsproblemer, er nu afsløret af Google.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Google holder stædigt fast i sin urokkelige deadline på 90 dage til at lukke en sårbarhed, før Googles sårbarhedsrapporteringstjeneste offentliggør detaljer om sårbarheden. Det er endnu en gang gået ud over Microsoft, hvor Google nu har offentliggjort tre sikkerhedshuller, før Microsoft har lukket dem, inden for en måned. Det skriver Ars Technica.

Første gang var umiddelbart før nytår, hvilket udløste en protest fra Microsoft, som opfordrede til samarbejde om at finde og lukke sårbarheder.

Nu har Google altså afsløret endnu to sårbarheder i Microsofts software. Den ene var planlagt til at blive lukket i Microsofts opdateringer i januar, men måtte pilles ud af opdateringscyklussen på grund af et kompatibilitetsproblem.

Det understreger de to lejre, som Microsoft og Google står i. Google kan hente opbakning i historien, hvor der har været flere eksempler på, at sikkerhedseksperter er blevet ignoreret af softwareleverandører, inklusive Microsoft, i op til mere end ét år, indtil de har følt sig nødsaget til at offentliggøre oplysninger om sikkerhedshullet af hensyn til den generelle it-sikkerhed.

Artiklen fortsætter efter annoncen

På den anden side er 90 dage ikke lang tid for Microsoft, som er nødt til at teste alle sikkerhedsopdateringer på en stor mængde af forskelligt konfigurerede platforme for at undgå, at en opdatering rulles ud og skaber problemer for brugerne. Her kan Microsoft pege på flere tilfælde i 2014, hvor selskabet måtte trække opdateringer tilbage på grund af tekniske problemer.

De to selskaber opererer også ud fra to forskellige filosofier med hensyn til udrulning af opdateringer. Google, som i rollen som softwareleverandør primært opererer med cloud-tjenester, opdaterer i princippet så snart en opdatering er klar.

Microsoft har fortsat langt størstedelen af sine kunder på systemer, der kører lokalt hos brugeren. Derfor satte Microsoft som det første store it-firma sine opdateringer i system ved at frigive opdateringer den anden tirsdag i hver måned.

Mens Microsoft for mange af sine produkter arbejder med en opdateringsperiode på 10 år, så har Google tidligere vist, at ældre produkter efterlades, som i tilfældet af ældre Android-enheder, eller blot lukkes ned, som det skete med Google Reader, Google Health, Google Latitude, Orkut og en stribe andre.

19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
21. januar 2015 kl. 06:10

man kan så dog heller ikke give google den fulde skyld for android situationen, producenter af android enheder gør jo nærmest alt der kan gøres for at ikke levere opdateringer.

man kunne så diskuttere om google skulle have gjort mere for at opretholde kontrol over økosystemet for at sikre opdateringer, det ville de fleste folk nok ønske som tingene ser ud idag, men der er næppe meget gavn til slutbrugerene af android af at google laver opdateringer til aosp som 1 ud af 100000 androidbrugere kommer til at se.

6
19. januar 2015 kl. 23:20

Hovedproblemet ligger vel i at ingen endnu har fundet en løsning på, hvordan man opdaterer gamle fysiske produkter. Eller hvordan man undgår at nye produkter også vil lide samme skæbne en dag.

Google's Project Ara kunne dog gå hen og løse problemet for android telefoner, hvis man bare kan udskifte den del som ingen sender opdateringer ud til mere.

Og Microsoft er ifølge rygter i gang med at overveje en abonnementsordning for Windows, hvilket vel kunne hjælpe med at undgå win xp-problemet. Lidt afhængigt af om det grundlæggende Windows vil kræve nyere hardware.

Men indtil videre er det ønsketænkning :/

4
19. januar 2015 kl. 17:22

Uansvarlige røvbananer der fordi de ikke har klientsoftware de anser for kritiske i klemme så har de fri licens til at være mindre end behagelige...

"Google, som i rollen som softwareleverandør primært opererer med cloud-tjenester, opdaterer i princippet så snart en opdatering er klar."

Så Android er ikke et produkt de anser som et primært fokus for dem ?

Så giver det mere mening at de nu i femte hovedversion som platform ejer ikke har trumfet igennem at de kam udgive sikkerheds opdateringer til Android... Og hvis noget ikke er kompatibelt med den nye version af Chrome så har Google et svar til dig "FU"...

Altid godt at vide og hvis man nu tog nogle IT servicedesk briller på så kunne man godt forstå hvorfor Chrome ikke er en favorit i den sammenhæng...

5
19. januar 2015 kl. 17:48

Uansvarlige røvbananer der fordi de ikke har klientsoftware de anser for kritiske i klemme så har de fri licens til at være mindre end behagelige...

Og nøjagtigt det samme kan jo siges om Microsoft. Ballmer elskede jo netop den kamp, og hans ekstreme had og arrogance har i dén grad præget og præger stadig Microsoft helt ned på gulvniveau. Ingen af de to "firmaer" kan da ligefrem siges at have deres kunder i centrum, for hvis de bare kan få den anden ned med nakken, så er det hovedeformålet, uanset hvor plat eller svinsk metoden er og hvem det så gpr ud over. Produkterne er ikke vigtige overhovedet. Kunderne er ikke interessante heller som andet end kanonføde. Kampen og det at vinde et slag imod den anden er til gengæld ét og alt. Så der er vidst ikke noget som den ene skal lade den anden høre for eller omvendt.

7
20. januar 2015 kl. 23:54

Har sgu lidt svært ved at se det som mere end en barnlig virksomhed og en der forsøger at håndterer det efter bedste evne. Jeg kan ikke se at der er noget som helst urimeligt i googles adfærd i denne henseende. Det er en stor hjælp for os brugere at en der kan, sætter rimelige grænser for MSes (Balmers) arrogance og tåbelige adfærd. Thums up for google

8
21. januar 2015 kl. 01:00

Det er en stor hjælp for os brugere at en der kan, sætter rimelige grænser for MSes (Balmers) arrogance og tåbelige adfærd.

Jomen, hvor voksent er det at Google blokerer for BING i robots.txt til youtube?

For mig minder det om monopolbeskyttelse, som jeg før har set hos... hmm... Microsoft?

Og ja, Microsoft har såmænd også blokeret for Chrome i deres antimalware ved en "fejl". Ligesom de har blokeret for frit browservalg ved en "fejl" også. Men det ændrer vel ikke på, at der skal to til en krig. Og at Google absolut heller ikke holder sig tilbage for at benytte de nøjagtigt samme midler som Microsoft.

10
21. januar 2015 kl. 01:35

tja- google og EU er tilsyneladende de eneste der kan hamle op med MS, Apple og andre patent fuske-krigere. Når man ikke har absolut magt, må man vel bruge de midler man har. Der er mange paraller i udenrigspolitik. det er ikke altid kønt. Det er for nemt at dømme alle stridende parter tila t være lige dumme. Google er efter min vurdering helt klart på den rigtige side i denne sag, i patentsagerne og forbavsende ofte i andre svære sager. Det gavner os alle. Hvorfor ikke give dem credit for det?

12
21. januar 2015 kl. 02:25

tja- google og EU er tilsyneladende de eneste der kan hamle op med MS, Apple og andre patent fuske-krigere.

Har du levet på Mars de seneste år Simon, eller under en sten måske..?

Sålænge Google fusker med at luske formuer i skattely[1], snager i folks informationer, slås om patenter etc. så er Google biksen blot en af bundskraberne i min hus.. som de øvrige kanaljer Microsoft, Apple mfl.

[1] Skattely Bermuda ..https://www.business.dk/digital/google-sender-50-milliarder-i-skattely-paa-bermuda#! [1] EU's antitrust ..https://www.euractiv.com/sections/eu-priorities-2020/vestager-dodges-meps-questions-google-probe-irish-tax-loophole-308905

13
21. januar 2015 kl. 02:47

Sålænge Google fusker med at luske formuer i skattely[1],

Ja, en ting er, jeg kan ikke udstå Microsoft, men det gør det svært at forsvare Google, når de heller ikke er fine i kanten.

snager i folks informationer,

Her skal man nok lige spise brød til. Microsoft har deres egen adtracker, eget reklamebureau, og sælge reklamer online, fuldstændigt ligesom Google.

Google er en konkurrent til Microsoft på både søgemaskiner og reklamer.

De snager i dine informationer på nøjagtigt samme måde som Google, hvilket også er hvad der gør Scroogled kampagnen så usandsynligt plat.

Microsoft er en tyv, som anklager en anden tyv for at stjæle.

Som et eksempel på, hvor langt Microsoft vil gå for at lyve og bedrage, kan man kigge i deres EULA.

Hvis ellers man husker hvad IE9 blev solgt på, deres højere privatlivssikring via default enabled DNT, og så læser EULAen, så står der ganske klart og tydeligt at ingen af Microsofts ad-tjenester understøtter DNT. Men det fortæller man selvfølgelig ikke sine brugere ligeså højt som man fortæller at DNT er slået til som default for "forhøjet privatliv".

Ja, go' morgen.

18
21. januar 2015 kl. 18:25

Bare for sjov - hvor står der i EULA'en?</p>
<p><a href="https://windows.microsoft.com/en-us/internet-explorer/products/ie-9/end…;
<p>Der står intet om det.</p>
<p>Så er der en privacy statement (der nok er mere relevant):</p>
<p><a href="https://windows.microsoft.com/en-us/internet-explorer/products/ie-9/win…;
<p>Der står, umiddelbart, heller intet om det.

Nej, det er lige nøjagtigt DET. Du er nødt til at søge rigitgt længe for at finde enten DNT eller Do Not Track overhovedet nævnt.

Synes du slet ikke, det er interessant, når man tænker på, hvor stort de slog det op?

Men iøvrigt skal du ikke have fat i EULAen for IE. IE-divisionen og BING-divisionen er to uafhængige enheder, og IE har ikke som sådan med reklame og advertising at gøre; BING er den, som står for både salg og reklame samt tracking.

Så du skal have fat i en tjeneste, hvor der er reklamer fra Microsofts advertising i forbindelse med servicen.

Den ENESTE, som nævner DNT overhovedet er i EULAen for Skype tjenesten, hvor Microsoft skriver:

Da der endnu ikke er en fælles opfattelse af, hvordan man fortolker DNT-signalet, reagerer Microsoft i øjeblikket ikke på DNT-signaler fra browseren på sine egne websteder eller onlinetjenester eller på tredjepartswebsteder eller onlinetjenester, hvor Microsoft leverer annoncer eller indhold eller på anden måde har mulighed for at indsamle oplysninger.

Men det er det eneste sted, som nævner det, og der skriver de, at de IKKE honorerer signalet. Så helt i orden, der ikke står noget i IE EULA, men jeg synes stadig, det er interessant, de slet ikke nævner det i forbindelse med BING EULA, da det jo er deres reklamefunktion/ad extention/ad plug in, som også bruges i Windows8.1.

19
21. januar 2015 kl. 18:52

Men det er det eneste sted, som nævner det, og der skriver de, at de IKKE honorerer signalet.

Jeg lavede den reaearch for vel et halvt år siden, og det har ikke rigtigt ændret sig siden.

Udadtil, der er signalet sat, så brugeren tror, at der er højere privacy pr. default. Indadtil, der understøttes signalet ikke, så det er ren blålys og salgsgas og er i mine øjne større problem end hvad Google gør.

I det mindste indrømmer Google, at de stjæler. De har faktisk slet ikke svært ved at snakke om det, hvilket man da kan google(!) sig frem til i adskillige artikler, hvor Erik Smidt gør op med "Do not be Evil" og faktisk hele "privacy"-begrebet.

At jeg så ikke er enig med ham, og af den og andre grunde ikke bruger Google produkter hvis jeg kan undgå det, er noget andet. De siger det ganske åbent, og så kan man selv tage stilling.

Man er simpelthen direkte uoplyst, hvis man skal have Microsoft til hjælp for at finde ud af, man bliver sporet af Google. Det rigtigt slemme kommer først, når man giver udtryk for, man er fuldstændig uskyldsren og så alligevel stjæler, som Microsoft gør. Så vil jeg sgu ikke være med mere.

Og problemet for Microsoft er netop de to helt vidt forskellige kundegrupper, som henholdsvist BING og Windows/IE har. Af hensyn til BING er Microsoft NØDT til at stjæle, for ellers er der ingen som vil købe reklamer hos dem. Men af hensyn til deres Windows brugere er de så også nødt til at skjule det, for ellers bliver de brugere sure. Så lyv lidt her og lyv lidt dér, og så lidt hadekampagne imod deres største konkurrent også for at dække over deres egen råddenskab, så går det alt sammen nok.

20
21. januar 2015 kl. 19:08

Det rigtigt slemme kommer først, når man giver udtryk for, man er fuldstændig uskyldsren og så alligevel stjæler, som Microsoft gør.

Et andet eksempel:

https://windows.microsoft.com/en-us/windows/microsoft-services-agreement

We don't use your documents, photos or other personal files to target advertising to you. Our advertising policies are covered in detail in the Privacy Statements.

Så prøv at overveje, hvad der sker, når du laver en filsøgning og det sker igennem BING.

https://bgr.com/2013/10/31/windows-8-1-smart-search-advertising/

11
21. januar 2015 kl. 02:17

Google er efter min vurdering helt klart på den rigtige side i denne sag, i patentsagerne og forbavsende ofte i andre svære sager. Det gavner os alle.

Nej, det gavner ikke de brugere, som har et Windows system.

Hvorfor ikke give dem credit for det?

Fordi det ikke har ret meget med sikkerhed at gøre. De gør det udelukkende for at drille Microsoft. Ellers ville to dage ikke have betydet nogetsomhelst for Google at give dem.

Og fordi "two wrongs doesn't make a right".

Jeg har forlængst tabt alt overhovedet for Microsoft. Men jeg havde lidt håb for Google, særligt med deres "don't be evil", som jeg godt kunne lide.

17
21. januar 2015 kl. 10:19

Nej, det gavner ikke de brugere, som har et Windows system.

Måske ikke lige denne gang. Men nu ved MS at der ikke gælder særlige regler for dem, Så man kan håbe på at de i fremtiden er lidt vaksere til at lappe hullerne, nu de ved at det giver dem problemer. Dermed får du en mere sikkert system

Har Microsoft nogensinde sagsøgt andre grundet softwarepatenter? Så vidt jeg har forstået har de (som alle andre) massevis af patenter, men af defensive årsager.

https://www.wired.com/2013/12/google-strikes-back/

Android brugere betaler idag skat til MS for nogle obskure patenter.

Jeg siger ikke at Google er en engel. Men i sammenligning med MS, Apple og Oracle, ser de ganske rare ude. IBM er ofte også nogenlunde reelle, dig bortset fra samarbejde med ŃSA.

Google lever af at vide meget om os, men de har stritte så meget i mod NSA som man kan forvente af en US virksomhed.

Så alt i alt opfører google sig som den pæne dreng i klassen - eller den magtesløse voksne i ungdomsklubben - stort set :o)

3
19. januar 2015 kl. 17:22

Det har nu ikke meget med sikkerhed at gøre. Hovedproblemet er, at Microsoft har drillet Google i så lang tid, at nu gad Google ikke det pis mere.

Det er alene en "tak for sidst" for Microsofts (indrømmet skandaløst amatøragtige) Scroogled kampagne. Som er et svar på, at Google ikke ville lade Microsoft bruge youtube på deres telefoner (opg iøvrigt blokerede BLING i robots.txt). Som er et svar på, at Microsoft har kigget lidt vel meget over skulderen på Googles søgeteknik (læs: industrispionage). Som er et svar på... kan ikke lige huske det.

Men nu overvejer Microsoft så, hvordan de skal "give igen", for naturligvis er heller ikke de indstillet overhovedet på "diplomati". og så kan historien fortsætte.

Det er to børnehavebørn, som kæmper om det samme legetøj. Med den forskel, at de to børn har magt til at ændre verden i den retning de nu finder for godt.

Ret skræmmende.

2
19. januar 2015 kl. 16:50

Som t.eks at holde min kones telefon sikkerhedsopdateret?

R

1
19. januar 2015 kl. 16:40

På den anden side er 90 dage ikke lang tid for Microsoft

90 dage burde altså være rigeligt. Jeg tror mere det er et spørgsmål om prioritering. Og hvis MS ikke prioriterer det nok til at få det lukket inden for 90 dage, så er kan de heller ikke klage når det bliver offentliggjort.

Husk på at de NSA sikkert allerede kender hullet.