Microsoft revser Google efter tidlig afsløring af 0-dagssårbarhed
90 dage er, hvad Google giver selskaber til at rette i software, når søgegiganten finder fejl og sårbarheder. Og det er tilsyneladende ikke en deadline, man afviger fra.
Microsofts frist til at få lukket et sikkerhedshul i Windows 8.1, der lader en bruger tiltuske sig administratorrettigheder, udløb søndag, og Google gjorde som lovet og frigav softwarefejlen. Til trods for at Microsoft havde bedt om to dages ekstra frist – indtil tirsdag hvor en opdatering bliver sendt ud. Det skriver BBC.
Googles Project Zero har til formål at finde huller i udbredte stykker software. Den omstridte 90-dagsfrist har til formål at tvinge selskaberne til at reagere og ikke sylte sikkerhedshuller.
Microsoft havde dog reageret på Googles advarsel. Fejlen bliver angiveligt rettet i en opdatering tirsdag – to dage efter deadline, hvilket altså ikke var godt nok til Google.
»Selvom de holder sig til Googles annoncerede tidsplan for offentliggørelsen, så føles beslutningen mindre som principper og mere som en ’gotcha’, hvor det er kunder, der lider under resultatet,« skriver Microsofts forskningschef, Chris Betz, i en blog.
»Hvad der er rigtig for Google, er ikke altid rigtigt for kunder. Vi tilskynder Google til at gøre kundebeskyttelse til vores fælles primære mål,« forsætter Chris Betz.
BBC har ikke fået en kommentar fra Google.
- emailE-mail
- linkKopier link

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
Ja, det vurderede de helt sikkert. Og de kom frem til at de ville lade deres kunder være uden beskyttelse i 2 dage.
Super, at du kunne besvare dine egne spørgsmål. På et tidspunkt blev jeg sgu lidt nervøs for om det lykkes. Men du kom i mål :-)
Så mangler vi bare at du tørrer øjnene og kommer videre :-)Super, at du kunne besvare dine egne spørgsmål.
På et tidspunkt blev jeg sgu lidt nervøs for om det lykkes. Men du kom i mål :-)
Om jeg begriber de får 90 dage.. Jeg tænker at 30 burde være rigeligt. Men de har sikkert været large så de små udviklere også kan være med, men Microsoft, tag jer lige sammen hva'!
Så 30 dage... dvs. fra du får en bug report, til du får den prioriteret, kørt op mod andre rettelser der er i scope. Debugget, rettet, verificeret rettelsen virker, verificeret om fejlen findes i andre versioner af produktet end de indmeldte, verificeret at rettelsen ikke har impact på anden funktionalitet der benytter samme komponenter, og at rettelsen ikke har impact på andre versioner af produktet.
Dette kan være let nok med et buffer overrun, men andre rettelser kan være mere komplekse. Plus muligheden for at der ikke er daglige builds til test, osv.
Dertil kan man så diskutere at MS jo har en release policy der gør at alt der ikke er super-superkritisk kun bliver releaset 1 gang om måneden, vil gøre at en 30-dags periode er svær at nå for et mere komplekst setup der skal testes ordenligt. For vi har jo allesammen set hvordan der falder brænde ned, når de har releaset et fix, der flækker Windows hvis du har Random AV-program X, util program Y, og bootmanipulater Z installeret.
Konceptet virker alle andre steder. Som PHK tidligere har været inde på, så har man ofte kun en uge til at rette sådanne fejl i FOSS.Så 30 dage... dvs. fra du får en bug report, til du får den prioriteret, kørt op mod andre rettelser der er i scope. Debugget, rettet, verificeret rettelsen virker, verificeret om fejlen findes i andre versioner af produktet end de indmeldte, verificeret at rettelsen ikke har impact på anden funktionalitet der benytter samme komponenter, og at rettelsen ikke har impact på andre versioner af produktet.
MS og FOSS er da også to fuldstændig identiske scenarier...Konceptet virker alle andre steder. Som PHK tidligere har været inde på, så har man ofte kun en uge til at rette sådanne fejl i FOSS.
Ja, 90 dage er normalt en acceptabel deadline. Men Microsoft bad om 2 dage mere, i henhold til deres velkendte Patch Tuesday. Så er det da direkte dumt af Google, at ignorere dette. Det var jo ikke sådan, at Microsoft ikke havde en plan og ikke ville tage action på denne sårbarhed.
Ja, 90 dage er normalt en acceptabel deadline.
Men Microsoft bad om 2 dage mere, i henhold til deres velkendte Patch Tuesday.
Så er det da direkte dumt af Google, at ignorere dette. Det var jo ikke sådan, at Microsoft ikke havde en plan og ikke ville tage action på denne sårbarhed.
Google har nok ikke overvejet, at langt de fleste af deres Android brugere har en Windows desktop, og de med deres "undskyldninger" om max 90 dage til at patche er med til at få deres egne kunder inficeret med zero days.
Selvfølgelig skal Microsoft ikke have uendelig tid. Men hvis de iøvrigt svarer på Googles henvendelser, og ber om to dage mere, så er det kun for at drille, at Google ikke giver dem det.
Og egentlig kunne man jo være ret ligeglad med deres interne krig. Hvis ikke det var fordi, at de to indbyrdes kampe altid ender med at gå ud over brugerne.
Men noget har Google da opnået. Et nyt fælles lavniveau, som Microsoft så skal slå. Det kommer de nok også til, det er såmænd slet ikke det.
Spørgsmål: Hvor mange tirsdage er der på 90 dage? Hvorfor vælger de en tirsdag som ligger efter de 90 dage?Ja, 90 dage er normalt en acceptabel deadline.
Men Microsoft bad om 2 dage mere, i henhold til deres velkendte Patch Tuesday.
Hvorfor vælger de en tirsdag som ligger efter de 90 dage?
A Call for Better Coordinated Vulnerability Disclosurehttp://blogs.technet.com/b/msrc/archive/2015/01/11/a-call-for-better-coordinated-vulnerability-disclosure.aspx
Citat: CVD philosophy and action is playing out today as one company - Google - has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so. Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13, when we will be releasing a fix. Although following through keeps to Google’s announced timeline for disclosure, the decision feels less like principles and more like a “gotcha”, with customers the ones who may suffer as a result. What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal.
Patch Tuesdayhttp://searchsecurity.techtarget.com/definition/Patch-Tuesday
What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal.
Det er simpelthen eminent godt formuleret spin af Microsofts propagandaministerium. Det fremstår jo ganske tydeligt, at Microsoft er den diplomatiske, sne hvide, fuldstændigt rent uskyldige, som aldrig kunne finde på at gøre det samme og lade en krig gå ud over brugerne. Hold da helt op. Dén får ren 12 af mig.
Det er simpelthen eminent godt formuleret spin af Microsofts propagandaministerium.
Microsoft kunne jo også indrømme, at deres interne magtkampe har kostet brugerne på begge sider, at de er kede af det, men nu er den trukket for langt og iøvrigt ikke vil være med mere, og derfor gerne vil have en våbenhvile og endelig fred imellem de to.
Der er et eller andet med de tre fingre, som peger indad, når man peger anklagende på en anden.
Man kan overveje, hvorfor Mozilla skred fra Google og gik til Yahoo. Måske er det fordi at være underdog og tage part i en krig imellem giganter aldrig har heldigt udfald for den lille i kampen.
Og så ved jeg godt, at Yahoo bruger BING og dermed Microsofts teknologi. Men læser man hvad Yahoo selv vil, så er det da at være totalt fri af både Google og Microsoft. De har bare ikke finanserne til at kunne gøre det. Endnu.
Jeg har stor respekt for både Yahoo og Mozilla, som ikke gider de her krige. Og ikke særligt meget respekt for hverken Microsoft eller Google iøvrigt. Split dem begge op i adskillige mindre enheder, som skal konkurrere imod hinanden, og imellem sig selv. Så slipper vi for de her platte krige om verdensherredømmet og kan komme videre.
Der var ikke en patch tuesday i december? Jeg spørger fordi det ville så have været inden de 90 dage.A Call for Better Coordinated Vulnerability Disclosure
<a href="http://blogs.technet.com/b/msrc/archive/2015/01/11/a-call-for-better-co…;.
Ja, men måske vurderede Microsoft, at denne patch krævede ekstra planlægning og test. Hvis de fucker op, rammer de jo en del brugere og virksomheder.
Ja, det vurderede de helt sikkert. Og de kom frem til at de ville lade deres kunder være uden beskyttelse i 2 dage.Ja, men måske vurderede Microsoft, at denne patch krævede ekstra planlægning og test.
Hvis de fucker op, rammer de jo en del brugere og virksomheder.
Det er jo ikke Google som tog den beslutning. Microsoft havde jo muligheden for lige at betale nogle folk for at arbejde 2 dage ekstra. Spredt ud over 90 dage er det altså ikke mange ekstra timer om ugen.
Jeg er sikker på Netscape også tænkte "the decision feels less like principles and more like a “gotcha”", da microsoft gjorde IE til en central del af Windows. Det fik dog ikke Microsoft til at ændre kurs. Så kan ikke se hvorfor Google skulle?
Hvis 90 dage ikke er nok så har MS nok ikke SÅ travlt med at fikse den. En ting er at de selv finder og retter en fejl. Men hvis det tager SÅ lang tid at læse whitepaper. Reproducerer fejlen og lave en rettelse samt at teste den så har MS altså problemer med prioriteterne.
Version2 , nu er det anden gang vi får samme nyhed. Måske med den tvist den burde være leveret med første gang.
Hvis i ikke kan finde noget nyt at skrive om, kan i så ikke bruge lidt mere tid på dem i laver. Så som at følge op, måske med en Dansk vinkel. Så i ikke bare oversætte udenlandske artikler, eller bringer PR nyhedsbreve om produkter fra forskellige firma.
Fik i så mange "klik" på den anden reportage at i prøver igen.
hvad blev der af googles offielle slogan "dont be evil". Google kunne godt havde opført sig pænt og ventet et par dage.
Du mener ikke, at 90 dage er nok?Google kunne godt havde opført sig pænt og ventet et par dage.
"Vi tilskynder Google til at gøre kundebeskyttelse til vores fælles primære mål" Godt, fix your shit!