Microsoft revser Google efter tidlig afsløring af 0-dagssårbarhed
90 dage er, hvad Google giver selskaber til at rette i software, når søgegiganten finder fejl og sårbarheder. Og det er tilsyneladende ikke en deadline, man afviger fra.
Microsofts frist til at få lukket et sikkerhedshul i Windows 8.1, der lader en bruger tiltuske sig administratorrettigheder, udløb søndag, og Google gjorde som lovet og frigav softwarefejlen. Til trods for at Microsoft havde bedt om to dages ekstra frist – indtil tirsdag hvor en opdatering bliver sendt ud. Det skriver BBC.
Googles Project Zero har til formål at finde huller i udbredte stykker software. Den omstridte 90-dagsfrist har til formål at tvinge selskaberne til at reagere og ikke sylte sikkerhedshuller.
Microsoft havde dog reageret på Googles advarsel. Fejlen bliver angiveligt rettet i en opdatering tirsdag – to dage efter deadline, hvilket altså ikke var godt nok til Google.
»Selvom de holder sig til Googles annoncerede tidsplan for offentliggørelsen, så føles beslutningen mindre som principper og mere som en ’gotcha’, hvor det er kunder, der lider under resultatet,« skriver Microsofts forskningschef, Chris Betz, i en blog.
»Hvad der er rigtig for Google, er ikke altid rigtigt for kunder. Vi tilskynder Google til at gøre kundebeskyttelse til vores fælles primære mål,« forsætter Chris Betz.
BBC har ikke fået en kommentar fra Google.
- emailE-mail
- linkKopier link

- Sortér efter chevron_right
- Trådet debat
Ja, det vurderede de helt sikkert. Og de kom frem til at de ville lade deres kunder være uden beskyttelse i 2 dage.
Super, at du kunne besvare dine egne spørgsmål. På et tidspunkt blev jeg sgu lidt nervøs for om det lykkes. Men du kom i mål :-)
- more_vert
- insert_linkKopier link
Super, at du kunne besvare dine egne spørgsmål.
Så mangler vi bare at du tørrer øjnene og kommer videre :-)
På et tidspunkt blev jeg sgu lidt nervøs for om det lykkes. Men du kom i mål :-)
- more_vert
- insert_linkKopier link
Om jeg begriber de får 90 dage.. Jeg tænker at 30 burde være rigeligt. Men de har sikkert været large så de små udviklere også kan være med, men Microsoft, tag jer lige sammen hva'!
- more_vert
- insert_linkKopier link
Så 30 dage... dvs. fra du får en bug report, til du får den prioriteret, kørt op mod andre rettelser der er i scope. Debugget, rettet, verificeret rettelsen virker, verificeret om fejlen findes i andre versioner af produktet end de indmeldte, verificeret at rettelsen ikke har impact på anden funktionalitet der benytter samme komponenter, og at rettelsen ikke har impact på andre versioner af produktet.
Dette kan være let nok med et buffer overrun, men andre rettelser kan være mere komplekse. Plus muligheden for at der ikke er daglige builds til test, osv.
Dertil kan man så diskutere at MS jo har en release policy der gør at alt der ikke er super-superkritisk kun bliver releaset 1 gang om måneden, vil gøre at en 30-dags periode er svær at nå for et mere komplekst setup der skal testes ordenligt. For vi har jo allesammen set hvordan der falder brænde ned, når de har releaset et fix, der flækker Windows hvis du har Random AV-program X, util program Y, og bootmanipulater Z installeret.
- more_vert
- insert_linkKopier link
Så 30 dage... dvs. fra du får en bug report, til du får den prioriteret, kørt op mod andre rettelser der er i scope. Debugget, rettet, verificeret rettelsen virker, verificeret om fejlen findes i andre versioner af produktet end de indmeldte, verificeret at rettelsen ikke har impact på anden funktionalitet der benytter samme komponenter, og at rettelsen ikke har impact på andre versioner af produktet.
Konceptet virker alle andre steder. Som PHK tidligere har været inde på, så har man ofte kun en uge til at rette sådanne fejl i FOSS.
- more_vert
- insert_linkKopier link
Konceptet virker alle andre steder. Som PHK tidligere har været inde på, så har man ofte kun en uge til at rette sådanne fejl i FOSS.
MS og FOSS er da også to fuldstændig identiske scenarier...
- more_vert
- insert_linkKopier link
Ja, 90 dage er normalt en acceptabel deadline. Men Microsoft bad om 2 dage mere, i henhold til deres velkendte Patch Tuesday. Så er det da direkte dumt af Google, at ignorere dette. Det var jo ikke sådan, at Microsoft ikke havde en plan og ikke ville tage action på denne sårbarhed.
- more_vert
- insert_linkKopier link
Google har nok ikke overvejet, at langt de fleste af deres Android brugere har en Windows desktop, og de med deres "undskyldninger" om max 90 dage til at patche er med til at få deres egne kunder inficeret med zero days.
Selvfølgelig skal Microsoft ikke have uendelig tid. Men hvis de iøvrigt svarer på Googles henvendelser, og ber om to dage mere, så er det kun for at drille, at Google ikke giver dem det.
Og egentlig kunne man jo være ret ligeglad med deres interne krig. Hvis ikke det var fordi, at de to indbyrdes kampe altid ender med at gå ud over brugerne.
Men noget har Google da opnået. Et nyt fælles lavniveau, som Microsoft så skal slå. Det kommer de nok også til, det er såmænd slet ikke det.
- more_vert
- insert_linkKopier link
Ja, 90 dage er normalt en acceptabel deadline.
Spørgsmål: Hvor mange tirsdage er der på 90 dage?
Hvorfor vælger de en tirsdag som ligger efter de 90 dage?
Men Microsoft bad om 2 dage mere, i henhold til deres velkendte Patch Tuesday.
- more_vert
- insert_linkKopier link
Hvorfor vælger de en tirsdag som ligger efter de 90 dage?
A Call for Better Coordinated Vulnerability Disclosurehttp://blogs.technet.com/b/msrc/archive/2015/01/11/a-call-for-better-coordinated-vulnerability-disclosure.aspx
Citat: CVD philosophy and action is playing out today as one company - Google - has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so. Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13, when we will be releasing a fix. Although following through keeps to Google’s announced timeline for disclosure, the decision feels less like principles and more like a “gotcha”, with customers the ones who may suffer as a result. What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal.
Patch Tuesdayhttp://searchsecurity.techtarget.com/definition/Patch-Tuesday
- more_vert
- insert_linkKopier link
Det er simpelthen eminent godt formuleret spin af Microsofts propagandaministerium. Det fremstår jo ganske tydeligt, at Microsoft er den diplomatiske, sne hvide, fuldstændigt rent uskyldige, som aldrig kunne finde på at gøre det samme og lade en krig gå ud over brugerne. Hold da helt op. Dén får ren 12 af mig.
- more_vert
- insert_linkKopier link
Det er simpelthen eminent godt formuleret spin af Microsofts propagandaministerium.
Microsoft kunne jo også indrømme, at deres interne magtkampe har kostet brugerne på begge sider, at de er kede af det, men nu er den trukket for langt og iøvrigt ikke vil være med mere, og derfor gerne vil have en våbenhvile og endelig fred imellem de to.
Der er et eller andet med de tre fingre, som peger indad, når man peger anklagende på en anden.
Man kan overveje, hvorfor Mozilla skred fra Google og gik til Yahoo. Måske er det fordi at være underdog og tage part i en krig imellem giganter aldrig har heldigt udfald for den lille i kampen.
Og så ved jeg godt, at Yahoo bruger BING og dermed Microsofts teknologi. Men læser man hvad Yahoo selv vil, så er det da at være totalt fri af både Google og Microsoft. De har bare ikke finanserne til at kunne gøre det. Endnu.
Jeg har stor respekt for både Yahoo og Mozilla, som ikke gider de her krige. Og ikke særligt meget respekt for hverken Microsoft eller Google iøvrigt. Split dem begge op i adskillige mindre enheder, som skal konkurrere imod hinanden, og imellem sig selv. Så slipper vi for de her platte krige om verdensherredømmet og kan komme videre.
- more_vert
- insert_linkKopier link
A Call for Better Coordinated Vulnerability Disclosure
Der var ikke en patch tuesday i december?
Jeg spørger fordi det ville så have været inden de 90 dage.
<a href="http://blogs.technet.com/b/msrc/archive/2015/01/11/a-call-for-better-co…;.
- more_vert
- insert_linkKopier link
Ja, men måske vurderede Microsoft, at denne patch krævede ekstra planlægning og test. Hvis de fucker op, rammer de jo en del brugere og virksomheder.
- more_vert
- insert_linkKopier link
Ja, men måske vurderede Microsoft, at denne patch krævede ekstra planlægning og test.
Ja, det vurderede de helt sikkert. Og de kom frem til at de ville lade deres kunder være uden beskyttelse i 2 dage.
Hvis de fucker op, rammer de jo en del brugere og virksomheder.
Det er jo ikke Google som tog den beslutning. Microsoft havde jo muligheden for lige at betale nogle folk for at arbejde 2 dage ekstra. Spredt ud over 90 dage er det altså ikke mange ekstra timer om ugen.
Jeg er sikker på Netscape også tænkte "the decision feels less like principles and more like a “gotcha”", da microsoft gjorde IE til en central del af Windows. Det fik dog ikke Microsoft til at ændre kurs. Så kan ikke se hvorfor Google skulle?
- more_vert
- insert_linkKopier link
Hvis 90 dage ikke er nok så har MS nok ikke SÅ travlt med at fikse den. En ting er at de selv finder og retter en fejl. Men hvis det tager SÅ lang tid at læse whitepaper. Reproducerer fejlen og lave en rettelse samt at teste den så har MS altså problemer med prioriteterne.
- more_vert
- insert_linkKopier link
Version2 , nu er det anden gang vi får samme nyhed. Måske med den tvist den burde være leveret med første gang.
Hvis i ikke kan finde noget nyt at skrive om, kan i så ikke bruge lidt mere tid på dem i laver. Så som at følge op, måske med en Dansk vinkel. Så i ikke bare oversætte udenlandske artikler, eller bringer PR nyhedsbreve om produkter fra forskellige firma.
Fik i så mange "klik" på den anden reportage at i prøver igen.
- more_vert
- insert_linkKopier link
hvad blev der af googles offielle slogan "dont be evil". Google kunne godt havde opført sig pænt og ventet et par dage.
- more_vert
- insert_linkKopier link
Google kunne godt havde opført sig pænt og ventet et par dage.
Du mener ikke, at 90 dage er nok?
- more_vert
- insert_linkKopier link
"Vi tilskynder Google til at gøre kundebeskyttelse til vores fælles primære mål" Godt, fix your shit!
- more_vert
- insert_linkKopier link