Google avslöjar säkerhetshål i Windows 10 – kritiseras av Microsoft

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av Finess:

Ni som säger "Rätt av Google": man brukar tala om "Responsible Disclosure" i sammanhang som detta, vilket innebär att man informerar tillverkaren av den produkt i vilken man hittat sårbarheter och ger dem 90 dagar på sig att åtgärda problemen innan man sprider informationen publikt. Man får alltså fortfarande ta cred för att man hittat en sårbarhet, men ger tillverkaren en chans att minimera skadan innan sårbarheten blir allmän kännedom. Eftersom Google är konkurrent till Microsoft är situationen lite speciell i det här fallet, men jag tycker fortfarande det är oansvarigt av Google att gå publikt direkt. Hoppas Microsoft lyckas identifiera någon schysst sårbarhet i Chrome och låta Google smaka på sin egen medicin.

Och det har dem normalt, enda anledningen till att det icke var så i detta fallet är för att sårbarheten redan används i det vilda, enligt Google själva.

CPU: AMD Ryzen 1600 3.8GHz Ram: Corsair 3000MHz 16GB Moderkort: Asus Prime B350 Plus Grafikkort Host: GTX 560Ti Grafikkort Guest: GTX 780 PSU: EVGA Supernova G3 750W OS: Manjaro XFCE (Win 10 i virtuell maskin)

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av Bengt-Arne:

Vi kan ju fråga dom när det gäller mobila OS
https://support.apple.com/en-ca/HT201222
https://groups.google.com/forum/#!forum/android-security-upda...

När det gäller Windows mobile så är det svårare att få fram något konkret, men nog verkar det som att MS är både sämre och långsammare med att uppdatera mobila enheter.

*blabla massa windows phone 8 versions#*

Sidan är senast updaterad den 17'e Maj 2016 så man får anta att det är senaste datumen för W8.1 mobile.
Notera att OS-ver nummer skiljer mellan telefonmodell.
Källa: https://support.microsoft.com/en-us/help/12662/windows-phone-...
Sökte efter W10 mobil, men hittade endast info. för W8.0/8.1

Att använda en mobil eller surfplatta för pengatransaktioner är enligt mig snudd på dårskap och övertro, speciellt om man som dom flesta inte ens har någon säkerhetsapp/virusscanner installerad och aktiv.
Har själv kört med "Lookout" sen min första smartphone och vägrar hantera transaktioner, swish m.m. på enheterna...

Självfallet så får man hoppas att det åtgärdas ansvarsfullt och snabbt...

Men att jämställa en PC med mobil eller för den delen surfplatta fungerar inte, och faller rätt platt om man vill försvara MS då dom förefaller vara långsammast/minst aktiva med uppdateringar till dessa enheter bland MS, Apple och Google...

===== Hestmatematik =====
Kul att Windows 10 Mobile får vara med i diskussionen :). Enligt mina anteckningar (kan ha räknat fel) så är antalet släppta säkerhetsuppdateringar 2016, av respektive företag (för deras mobila enheter) följande:

iPhone: 13
Android: 8 (Nexus: 11)
Windows 10: 29

from zero to hero?...

https://support.apple.com/en-ca/HT201222
https://groups.google.com/forum/#!forum/android-security-upda...
https://support.microsoft.com/en-us/help/12387/windows-10-upd...

===== Mobila OS / Säkerhet =====
Av allt man läst genom åren känns ändå Android som minst säkert. Inte endast för att det är populärast utan även för att det ibland är upp till varje enskilld OEM att laga säkerhetshål.

När man sedan läser saker som:
"Just as Google is coming under fire for publicizing a Windows bug two days before Microsoft released a fix, the company is now in the crosshairs because of its approach towards updating its own software.

Not for the first time, a bug has been found in the WebView component of Android 4.3 and below. This is the embeddable browser control powered by a version of the WebKit rendering engine used in Android apps.

Android 4.4 and 5.0, which use Blink rather than WebKit for their WebView, are unaffected. But by Google's own numbers, some 60 percent of Android users are using 4.3 or below. As such, this is a widespread, high-impact bug. The normal procedure would be to report the bug to Google, and for Google to develop a fix and publish it as part of Android Open Source Project release.

But, writes Tod Beardsley, developer of the Metasploit security testing framework, that's not what happened this time. The Android security team was notified of the problem, and the response was:

'If the affected version [of WebView] is before 4.4, we generally do not develop the patches ourselves, but welcome patches with the report for consideration. Other than notifying OEMs, we will not be able to take action on any report that is affecting versions before 4.4 that are not accompanied with a patch.'"

Källa: http://arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percent-of-android-phones/

Sedan har vi dessa (finns 3 till men de har lägre severity):
"QuadRooter vulnerabilities -
Made public: August 2016, Severity: 5/5, Versions affected: Handsets with Qualcomm modem chipsets, about 80 percent of all Android phones. Fixed? Qualcomm patch released via handset makers...This means it will require a Qualcomm patch distributed by each maker. This will end up taking a long time and may never come to pass on many models, a frankly unacceptable situation."

"The ‘Certifi-gate’ mRST flaw -
Made public:  August 2015, Severity: 3/5, Versions affected: up to Android 5.1 Fixed? Not yet – phone makers will have to update support plug-ins"

"‘Stagefright’ MMS flaw -
Made public: July 2015 Severity: 5/5 Versions affected:  all up to Android 5.1 Fixed? Only for a few. Some networks have deactivated auto-MMS while Google has sent a patch to carriers"

Det känns som ett återkommande problem i Android. Säkerheten är hela tiden upp till någon annan att fixa och med tanke på marginalerna i mobilbranschen lär det inte hända särskilt mycket på den fronten. Å andra sidan verkar folk som köper mobiler idag inte bry sig (ha kunskapen?).

Källa: http://www.techworld.com/security/androids-6-biggest-security-flaws-2016-3622116/

===== Åter till säkerhetshålet =====
Ett blogginlägg där Microsoft tar upp vart dom står ang CVD (Coordinated Vulnerability Disclosure):
"CVD philosophy and action is playing out today as one company – Google – has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so.  Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13, when we will be releasing a fix. Although following through keeps to Google’s announced timeline for disclosure, the decision feels less like principles and more like a “gotcha”, with customers the ones who may suffer as a result. What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal."

I samma blogginlägg skriver dom även:
"[Note: In our own CVD policy (available at microsoft.com/cvd), we do mention exceptions for cases in which we might release an advisory about a vulnerability in a third party’s software before an update is ready, including when the technical details have become publicly known, when there is evidence of exploitation of an unpatched vulnerability, and when the vendor fails to respond to requests for discussion.]"

Vilket ändå känns som ett mognare och bättre beteende än det Google håller på med. Det finns alltid undantag till hur lång tid en patch kan ta att implementera och det vet Google, men dom skiter i det för att "samla poäng".

Källa: https://blogs.technet.microsoft.com/msrc/2015/01/11/a-call-for-better-coordinated-vulnerability-disclosure/

Terry Myerson har nu gått ut och skrivit:
"We have coordinated with Google and Adobe to investigate this malicious campaign and to create a patch for down-level versions of Windows. Along these lines, patches for all versions of Windows are now being tested by many industry participants, and we plan to release them publicly on the next Update Tuesday, Nov 8."

Tråkigt att Google inte kunde vänta en vecka till så att patchen hunnit bli testad ordentlig.

Källa: https://blogs.technet.microsoft.com/mmpc/2016/11/01/our-commitment-to-our-customers-security/

Trädvy Permalänk
Medlem
Registrerad
Jul 2015

Grejen är ju att buggen redan användes av hackare för att angripa folk. Google avslöjade ingenting, de bara varnade oss övriga.
Om jag förstått saken rätt är det en bugg i hur Edge hanterar äldre versioner av Flash.

Dvs kör Firefox eller Chrome istället för Edge, eller uppdatera Flash, eller vänta på att Microsoft får tummen ur.

Trädvy Permalänk
Medlem
Registrerad
Nov 2013
Skrivet av tattis:

===== Hestmatematik =====
Kul att Windows 10 Mobile får vara med i diskussionen :). Enligt mina anteckningar (kan ha räknat fel) så är antalet släppta säkerhetsuppdateringar 2016, av respektive företag (för deras mobila enheter) följande:

iPhone: 13
Android: 8 (Nexus: 11)
Windows 10: 29

from zero to hero?...

https://support.apple.com/en-ca/HT201222
https://groups.google.com/forum/#!forum/android-security-upda...
https://support.microsoft.com/en-us/help/12387/windows-10-upd...

Gott att MS bättrat sig med W10 på mobil, för jag såg endast 5 uppdateringar under W8.0/W8.1 mobile tiden och då enbart till vissa modeller.
Meeen vänta... Av dom 29 säkerhetsuppdateringar var ju inte en enda säkerhetsuppdateringar, var ju endast buggfixar Och 21 till antalet

Ett litet axplock:
- Addressed issue that was causing excessive battery drain on Windows 10 Mobile when connected to Wi-Fi.
- Addressed issue that was causing high CPU usage on Windows 10 Mobile.
- Fixed issue that delayed the availability of songs added to the Groove Music app in Windows 10 Mobile.

Skrivet av tattis:

===== Mobila OS / Säkerhet =====
Av allt man läst genom åren känns ändå Android som minst säkert. Inte endast för att det är populärast utan även för att det ibland är upp till varje enskilld OEM att laga säkerhetshål.

När man sedan läser saker som:
"Just as Google is coming under fire for publicizing a Windows bug two days before Microsoft released a fix, the company is now in the crosshairs because of its approach towards updating its own software.

Not for the first time, a bug has been found in the WebView component of Android 4.3 and below. This is the embeddable browser control powered by a version of the WebKit rendering engine used in Android apps.

Android 4.4 and 5.0, which use Blink rather than WebKit for their WebView, are unaffected. But by Google's own numbers, some 60 percent of Android users are using 4.3 or below. As such, this is a widespread, high-impact bug. The normal procedure would be to report the bug to Google, and for Google to develop a fix and publish it as part of Android Open Source Project release.

But, writes Tod Beardsley, developer of the Metasploit security testing framework, that's not what happened this time. The Android security team was notified of the problem, and the response was:

'If the affected version [of WebView] is before 4.4, we generally do not develop the patches ourselves, but welcome patches with the report for consideration. Other than notifying OEMs, we will not be able to take action on any report that is affecting versions before 4.4 that are not accompanied with a patch.'"

Källa: http://arstechnica.com/security/2015/01/google-wont-fix-bug-hitting-60-percent-of-android-phones/

Sedan har vi dessa (finns 3 till men de har lägre severity):
"QuadRooter vulnerabilities -
Made public: August 2016, Severity: 5/5, Versions affected: Handsets with Qualcomm modem chipsets, about 80 percent of all Android phones. Fixed? Qualcomm patch released via handset makers...This means it will require a Qualcomm patch distributed by each maker. This will end up taking a long time and may never come to pass on many models, a frankly unacceptable situation."

"The ‘Certifi-gate’ mRST flaw -
Made public:  August 2015, Severity: 3/5, Versions affected: up to Android 5.1 Fixed? Not yet – phone makers will have to update support plug-ins"

"‘Stagefright’ MMS flaw -
Made public: July 2015 Severity: 5/5 Versions affected:  all up to Android 5.1 Fixed? Only for a few. Some networks have deactivated auto-MMS while Google has sent a patch to carriers"

Det känns som ett återkommande problem i Android. Säkerheten är hela tiden upp till någon annan att fixa och med tanke på marginalerna i mobilbranschen lär det inte hända särskilt mycket på den fronten. Å andra sidan verkar folk som köper mobiler idag inte bry sig (ha kunskapen?).

Källa: http://www.techworld.com/security/androids-6-biggest-security-flaws-2016-3622116/

===== Åter till säkerhetshålet =====
Ett blogginlägg där Microsoft tar upp vart dom står ang CVD (Coordinated Vulnerability Disclosure):
"CVD philosophy and action is playing out today as one company – Google – has released information about a vulnerability in a Microsoft product, two days before our planned fix on our well known and coordinated Patch Tuesday cadence, despite our request that they avoid doing so.  Specifically, we asked Google to work with us to protect customers by withholding details until Tuesday, January 13, when we will be releasing a fix. Although following through keeps to Google’s announced timeline for disclosure, the decision feels less like principles and more like a “gotcha”, with customers the ones who may suffer as a result. What’s right for Google is not always right for customers. We urge Google to make protection of customers our collective primary goal."

I samma blogginlägg skriver dom även:
"[Note: In our own CVD policy (available at microsoft.com/cvd), we do mention exceptions for cases in which we might release an advisory about a vulnerability in a third party’s software before an update is ready, including when the technical details have become publicly known, when there is evidence of exploitation of an unpatched vulnerability, and when the vendor fails to respond to requests for discussion.]"

Vilket ändå känns som ett mognare och bättre beteende än det Google håller på med. Det finns alltid undantag till hur lång tid en patch kan ta att implementera och det vet Google, men dom skiter i det för att "samla poäng".

Källa: https://blogs.technet.microsoft.com/msrc/2015/01/11/a-call-for-better-coordinated-vulnerability-disclosure/

OK, men ändå verkar ju inte MS ha släppt en enda säkerhetsuppdatering om man ska tro din egna länk, däremot buggfixar...
Antingen får man gå i tron att W10 mobile är så extremt säkert så att säkerhetsuppdatering inte behövs, eller helt enkelt se till att skydda sig oavsett vilket OS man har på den mobila enheten.

Sen så glömmer ju även Apple sina äldre OS när ett nytt släpps, så support för äldre OS ändå noll och inget för någon mobil enhet oavsett OS.
Och då det som påstods vara säkerhetsuppdateringar för W10 mobile endast var buggfix så torde tidigare sammanställning vara:

iPhone: 13
Android: 8 (Nexus: 11)
Windows 10: 0 (Noll)

Back to zero, never hero?...

Skrivet av tattis:

Terry Myerson har nu gått ut och skrivit:
"We have coordinated with Google and Adobe to investigate this malicious campaign and to create a patch for down-level versions of Windows. Along these lines, patches for all versions of Windows are now being tested by many industry participants, and we plan to release them publicly on the next Update Tuesday, Nov 8."

Tråkigt att Google inte kunde vänta en vecka till så att patchen hunnit bli testad ordentlig.

Källa: https://blogs.technet.microsoft.com/mmpc/2016/11/01/our-commitment-to-our-customers-security/

Our standing recommendation is that companies should fix critical vulnerabilities within 60 days -- or, if a fix is not possible, they should notify the public about the risk and offer workarounds. We encourage researchers to publish their findings if reported issues will take longer to patch. Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation. The reason for this special designation is that each day an actively exploited vulnerability remains undisclosed to the public and unpatched, more computers will be compromised.

Källa: https://security.googleblog.com/2013/05/disclosure-timeline-f...

Detta förklarar varför Google inte väntar, sen är det upp till var och en att ta heads up eller sticka huvudet i sanden och låtsas som om det regnar.

Är fortfarande som jag tidigare skrev att man inte ska lita på någon mjukvara utan använda dom skydd som finns tillgängliga, vilket även inkluderar sunt förnuft vid besök av sidor.

Intressant är att MS vet om google's policy, så det var väntat att google skulle släppa information om säkerhetshålet 2016-10-31.

Och som tidigare, det är viss skillnad att täppa ett säkerhetshål på en PC än på en mobil enhet, framförallt i proceduren att få ut uppdateringen. På en PC så sker det genom att vissa filer blir utbytta, på en mobil enhet så innebär det normalt en flashning av hela OS'et med specifika drivrutiner för varje enhets hårdvara, begränsningen är lagringsmediets struktur/uppbyggnad. Något man kan hoppas ändrar sig när SSD når mobila enheter.

Engineer who prefer thinking out of the box and isn't fishing likes, fishing likes is like fishing proudness for those without ;-)
If U don't like it, bite the dust :D

Trädvy Permalänk
Medlem
Registrerad
Nov 2013
Skrivet av Awakeruad:

Grejen är ju att buggen redan användes av hackare för att angripa folk. Google avslöjade ingenting, de bara varnade oss övriga.
Om jag förstått saken rätt är det en bugg i hur Edge hanterar äldre versioner av Flash.

Dvs kör Firefox eller Chrome istället för Edge, eller uppdatera Flash, eller vänta på att Microsoft får tummen ur.

Samtidigt så skriver M$ “We believe in coordinated vulnerability disclosure, and today’s disclosure by Google puts customers at potential risk,” a Microsoft spokesperson told VentureBeat. “Windows is the only platform with a customer commitment to investigate reported security issues and proactively update impacted devices as soon as possible. We recommend customers use Windows 10 and the Microsoft Edge browser for the best protection.”

Vilket betyder att dom rekommenderar användare att köra med mjukvara som inte hindrar angreppet då MS egen mjukvara ännu inte är åtgärdad.

Prata om att missleda användare, rikta sina kunder mot det som är minst säkert

Engineer who prefer thinking out of the box and isn't fishing likes, fishing likes is like fishing proudness for those without ;-)
If U don't like it, bite the dust :D

Trädvy Permalänk
Avstängd
Registrerad
Aug 2009

Tack Google!

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Maj 2014
Skrivet av Wyver:

sen är folk skit förbannade över att Microsoft tvingar pä användarna uppdateringar.

Har ingen förståelse för användare som anser sig själva som "powerusers" och har stängt av uppdateringar.. För användaren vet att han bara är på "säkra" hemsidor och kan omöjligt få någon skadlg mjukvara på sin dator.

som någon var inne på att det inte får ta mer än 10 dagar, för Microsoft att åtgärda och skicka ut en uppdatering.. Det finns tusentals konfigurationer av datorer som kör Windows 10, så det är säkert en hel del trial and error före de har en uppdatering som inte ger ett nytt problem...

Hur ofta skickar Google och Apple ut säkerhets uppdateringar till sina enheter? Ingen som tror att de är utsatta för kryphål? I dagens samhälle vad skiljer Pc användadet mot smartphone/tablet användandet?

För mig personligen mycket lite skriver en stor del av eposten på mobilen/tableten betalar räkningar till största delen på datorn, men det händer sig att betalar på mobilen... Flyttar pengar mellan olika konton det sker mest på mobilen...

Så att skrika sig hes över Microsoft och Windows 10 är fullständigt onödigt. Alla tre av de stora mjukvaru tillverkarna får man hoppas att åtgärdar problem så snabbt som möjligt.

Jag är en av dem du inte förstår. Och låt mig förklara varför...

Självklart finns kryphål, och självklart viss sårbarheter. Men faktum är att trots detta så är oddsen att få dessa lägre än kompatibilitetsproblem med en patch från Windows 10, av egen erfarenhet både på jobb och hemma.

Virus kan du hantera och delvis skydda dig mot, då du vet vad som måste göras. Men när MS tvingar på dig nya patcher så skapar de också dessa säkerhetshål, som du nu måste patcha igen. Mao... att ligga i framkant kan faktiskt vara en nackdel. Du vet att om du får virus, så återställer man en backup, och sen fungerar allt igen. Med MS super-auto patch och drivrutins fubar, så är det ingen garanti.. .alls. Du kan spendera timmar med att bara försöka få igång en maskin igen, när Windows bestämt sig för att ta ner en patch, som inte går att ta bort, som tog sönder något kritiskt.

Sen i ett fall som detta så hade ju en poweruser med kontroll självklart lagt in denna patch direkt. Men man hade tagit en backup, förberett det och om det gick åt H, kunnat backa. Detta är något jag också vill ha möjlighet att göra hemma, då jag har backup. Rasar det så är det minimalt jag mister och det tar inte så lång tid att få igång allt igen. Men när jag fick sitta en hel kväll med att försöka få Windows 10 att samarbeta med både ljudkort och andra program, efter en patch, då fick jag nog. Slutade med att jag fick återställa en backup, och stänga av WU för att ens få det att fungera, tills de hunnit fixa felen de nyss skapade.

MS har helt enkelt ingen kvalitetskontroll kvar... alls. Så vad väljer du:

- ett säkerhetshål som du vet nu existerar, och de 100 du inte vet som få här har påverkats av.
- flertalet patcher och nya buggar/drivare, som kommer utan minsta varning, som har skapat enorma mängder trådar på forumet med folk med alla möjliga fel/problem som är svåra att lösa.

Personligen hade jag gärna tagit alt 3... som fanns i tidigare OS, dvs.. jag väljer vad som ska installeras och jag kan installera alla säkerhetspatcher som inte skapar problem, med minimalt med buggar.

Trädvy Permalänk
Medlem
Plats
Helsingfors
Registrerad
Jan 2013
Skrivet av lizzard8:

Shame on Microsoft.

Jag skulle nog mer ha sagt "Shame on Google"

Dom borde inte ha nämnt hålet alls, jag ville inte få reda på att hackers kan komma åt W10.

Och jo visst är det ju lite dåligt att M$ inte har täppt till det.

Men tycker nog att Google borde ha hållit munnen stängd ända tills de hade fått bekräftelse om att hålet hade stängts.

There is grandeur in this view of life, with its several powers, having been originally breathed into a few forms or into one; and that whilst this planet has gone cycling on according to the fixed law of gravity, from so simple a beginning endless forms most beautiful and most wonderful have been, and are being, evolved.

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Okt 2001
Skrivet av Paddanx:

Jag är en av dem du inte förstår. Och låt mig förklara varför...

Självklart finns kryphål, och självklart viss sårbarheter. Men faktum är att trots detta så är oddsen att få dessa lägre än kompatibilitetsproblem med en patch från Windows 10, av egen erfarenhet både på jobb och hemma.

Virus kan du hantera och delvis skydda dig mot, då du vet vad som måste göras. Men när MS tvingar på dig nya patcher så skapar de också dessa säkerhetshål, som du nu måste patcha igen. Mao... att ligga i framkant kan faktiskt vara en nackdel. Du vet att om du får virus, så återställer man en backup, och sen fungerar allt igen. Med MS super-auto patch och drivrutins fubar, så är det ingen garanti.. .alls. Du kan spendera timmar med att bara försöka få igång en maskin igen, när Windows bestämt sig för att ta ner en patch, som inte går att ta bort, som tog sönder något kritiskt.

Sen i ett fall som detta så hade ju en poweruser med kontroll självklart lagt in denna patch direkt. Men man hade tagit en backup, förberett det och om det gick åt H, kunnat backa. Detta är något jag också vill ha möjlighet att göra hemma, då jag har backup. Rasar det så är det minimalt jag mister och det tar inte så lång tid att få igång allt igen. Men när jag fick sitta en hel kväll med att försöka få Windows 10 att samarbeta med både ljudkort och andra program, efter en patch, då fick jag nog. Slutade med att jag fick återställa en backup, och stänga av WU för att ens få det att fungera, tills de hunnit fixa felen de nyss skapade.

MS har helt enkelt ingen kvalitetskontroll kvar... alls. Så vad väljer du:

- ett säkerhetshål som du vet nu existerar, och de 100 du inte vet som få här har påverkats av.
- flertalet patcher och nya buggar/drivare, som kommer utan minsta varning, som har skapat enorma mängder trådar på forumet med folk med alla möjliga fel/problem som är svåra att lösa.

Personligen hade jag gärna tagit alt 3... som fanns i tidigare OS, dvs.. jag väljer vad som ska installeras och jag kan installera alla säkerhetspatcher som inte skapar problem, med minimalt med buggar.

Jag skulle säga att Microsoft jobbar mer nu än någonsin för att få en användares upplevelse så bra och säker som möjligt, ge mig ett konkret exempel på en patch sedan Windows 10 kom som skapat mer som du säger "buggar" (vet inte vad du menar med att de skapar nya drivare, skapar de nya drivrutiner eller buggar i WHQL drivrutiner?) än vad den har åtgärdat.

Jag håller med dig i att alternativet bör finnas att välja vilka uppdateringar som skall installeras, vilket ger användaren i alla fall en möjlighet att ta lite kontroll över sin dator och dens operativsystem.

Utan konkret och säkerställd statistik så är dina åsikter bara spekulationer tyvärr, och spekulationer är inget man ska lägga någon större vikgt på.

On topic:
Ändå lite roligt att Google påpekar buggar i andras applikationer/operativsystem, Google ensamma lagarar ju mer information om oss som internetanvändare och har med större sannorlekhet negativ påverkan för oss dagligen, bara en tankeställare.

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Mar 2009

"Customers using Microsoft Edge on Windows 10 Anniversary Update are known to be protected from versions of this attack observed in the wild. This attack campaign, originally identified by Google’s Threat Analysis Group, used two zero-day vulnerabilities in Adobe Flash and the down-level Windows kernel to target a specific set of customers.

We have coordinated with Google and Adobe to investigate this malicious campaign and to create a patch for down-level versions of Windows. Along these lines, patches for all versions of Windows are now being tested by many industry participants, and we plan to release them publicly on the next Update Tuesday, Nov 8."

Så problemet gäller bara dom som INTE håller sitt operativsystem uppdaterat och använde icke MS softvara.

OK, det är ju helt och hållet MS fel........

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av Awakeruad:

Grejen är ju att buggen redan användes av hackare för att angripa folk. Google avslöjade ingenting, de bara varnade oss övriga.
Om jag förstått saken rätt är det en bugg i hur Edge hanterar äldre versioner av Flash.

Dvs kör Firefox eller Chrome istället för Edge, eller uppdatera Flash, eller vänta på att Microsoft får tummen ur.

Som Terry Myerson skrev i sin blogpost igår:

"Customers using Microsoft Edge on Windows 10 Anniversary Update are known to be protected from versions of this attack observed in the wild."

Skönt att man vart uppdaterad till Anniversary Update gratis då, sedan kör jag Edge iaf (utvärderar). Den är ju lite snällare mot SSD:n också, vilket säkert även förklarar att batteritiden blir bättre.

EDIT: När vi ändå är inne på säkerhet och browsers är senaste nytt (postat för 14 timmar sedan) "Microsoft Edge is way more secure than Chrome and Firefox":

Källa: http://betanews.com/2016/11/01/microsoft-edge-is-most-secure-browser/
Rapporten: https://www.nsslabs.com/web-browser-security/

Skrivet av Bengt-Arne:

Gott att MS bättrat sig med W10 på mobil, för jag såg endast 5 uppdateringar under W8.0/W8.1 mobile tiden och då enbart till vissa modeller.
Meeen vänta... Av dom 29 säkerhetsuppdateringar var ju inte en enda säkerhetsuppdateringar, var ju endast buggfixar Och 21 till antalet

Ett litet axplock:
- Addressed issue that was causing excessive battery drain on Windows 10 Mobile when connected to Wi-Fi.
- Addressed issue that was causing high CPU usage on Windows 10 Mobile.
- Fixed issue that delayed the availability of songs added to the Groove Music app in Windows 10 Mobile.

OK, men ändå verkar ju inte MS ha släppt en enda säkerhetsuppdatering om man ska tro din egna länk, däremot buggfixar...
Antingen får man gå i tron att W10 mobile är så extremt säkert så att säkerhetsuppdatering inte behövs, eller helt enkelt se till att skydda sig oavsett vilket OS man har på den mobila enheten.

Sen så glömmer ju även Apple sina äldre OS när ett nytt släpps, så support för äldre OS ändå noll och inget för någon mobil enhet oavsett OS.
Och då det som påstods vara säkerhetsuppdateringar för W10 mobile endast var buggfix så torde tidigare sammanställning vara:

iPhone: 13
Android: 8 (Nexus: 11)
Windows 10: 0 (Noll)

Back to zero, never hero?...

Our standing recommendation is that companies should fix critical vulnerabilities within 60 days -- or, if a fix is not possible, they should notify the public about the risk and offer workarounds. We encourage researchers to publish their findings if reported issues will take longer to patch. Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation. The reason for this special designation is that each day an actively exploited vulnerability remains undisclosed to the public and unpatched, more computers will be compromised.

Källa: https://security.googleblog.com/2013/05/disclosure-timeline-f...

Detta förklarar varför Google inte väntar, sen är det upp till var och en att ta heads up eller sticka huvudet i sanden och låtsas som om det regnar.

Är fortfarande som jag tidigare skrev att man inte ska lita på någon mjukvara utan använda dom skydd som finns tillgängliga, vilket även inkluderar sunt förnuft vid besök av sidor.

Intressant är att MS vet om google's policy, så det var väntat att google skulle släppa information om säkerhetshålet 2016-10-31.

Och som tidigare, det är viss skillnad att täppa ett säkerhetshål på en PC än på en mobil enhet, framförallt i proceduren att få ut uppdateringen. På en PC så sker det genom att vissa filer blir utbytta, på en mobil enhet så innebär det normalt en flashning av hela OS'et med specifika drivrutiner för varje enhets hårdvara, begränsningen är lagringsmediets struktur/uppbyggnad. Något man kan hoppas ändrar sig när SSD når mobila enheter.

Va är jag så trött!? :D. Nämen om du "fäller upp" uppdateringarna så ser du att det finns 'Security fixes'. Dom skriver tom i summary:n för varje uppdateringen om uppdateringen innehåller säkerhetsuppdatering eller inte iom: "This update includes quality improvements and security fixes.". I den första jag fällde ut stod det iaf "Fixed security issues that could allow remote code execution when malware is run on a target system." (låter ju som en säkerhetsuppdatering om något!?). Det borde vara dessa (det är ju blandat bugfixes med securityfixes)...varför räknas dom (dessa 21) inte menar du?.

Sedan om det dom själva skriver om:
"Our standing recommendation is that companies should fix critical vulnerabilities within 60 days -- or, if a fix is not possible, they should notify the public about the risk and offer workarounds. We encourage researchers to publish their findings if reported issues will take longer to patch. Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation. The reason for this special designation is that each day an actively exploited vulnerability remains undisclosed to the public and unpatched, more computers will be compromised."

Android hinner inte uppdateras på 7 dagar (se tidigare länkar) men andra företag skall minsann göra det. Windows är ingen liten maskin man bara patchar i en handvändning. Att man på Google tycker att det är en bra idé att sätta en och samma deadline för alla företag känns bara fel. Att sedan sätta den till 7 dagar så att stora företag måste stressa fram en fix är inte heller bra (det är så man öppnar upp fler säkerhetshål). Viktiga säkerhetshål måste lösas noggrant, sedan kodgranskas av minst en person, sedan testas noggrant, innan de släpps, vilket också tar tid (säkert några dagar med tanke på antalet maskiner).

Nä, Google borde helt enkelt jobba med sina OEM:er istället, för att själva kunna leverera snabba säkerhetsuppdateringar. Istället samlar man 'enkla poäng' genom att peka på konkurrenter och det blir vi konsumenter som blir lidandes. Det är bara att titta på detta exemplet: "Stagefright" MMS flaw (som har en maxad "allvarlighetsgrad"). Den är inte löst för alla ännu på 1.5år (dags att inse att ni måste göra något åt erat system nu Google). 1.5år och man gnäller på andra efter 7 dagar...jorasåatt...

Sedan följer jag din länk och läser saker som "As a result, after 7 days have elapsed without a patch or advisory, we will support researchers making details available so that users can take steps to protect themselves. By holding ourselves to the same standard, we hope to improve both the state of web security and the coordination of vulnerability management.". Seriöst, dags att uppdatera eran policy (är den lika gammal som din länk, dvs 3.5år?).

I din länk hittar jag även följande kommentar som är 'spot on':
"killbit said...

This is a fantastic policy for companies that are cloud based such as good. However those companies that provide enterprise software a customer has to install and test. is NOT going to be able to fix, test, release to customer, customer pick up the fix, customer test, submit change requests and deploy in < 7 days. You guys are going to expose more customers to these sorts of issues. Why not work with the companies to release guidance if they can't fix the issue. Google has no idea about enterprise customers. No enterprise is going to pick up any software from you they have to deploy.

May 30, 2013 at 1:15 PM"

Idén är jättebra av dom men utförandet...not so much.

Skrivet av zorp:

"Customers using Microsoft Edge on Windows 10 Anniversary Update are known to be protected from versions of this attack observed in the wild. This attack campaign, originally identified by Google’s Threat Analysis Group, used two zero-day vulnerabilities in Adobe Flash and the down-level Windows kernel to target a specific set of customers.

We have coordinated with Google and Adobe to investigate this malicious campaign and to create a patch for down-level versions of Windows. Along these lines, patches for all versions of Windows are now being tested by many industry participants, and we plan to release them publicly on the next Update Tuesday, Nov 8."

Så problemet gäller bara dom som INTE håller sitt operativsystem uppdaterat och använde icke MS softvara.

OK, det är ju helt och hållet MS fel........

Välkommen till Sweclockers: "Där allt är Microsofts fel"

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Maj 2014
Skrivet av GonAce:

Jag skulle säga att Microsoft jobbar mer nu än någonsin för att få en användares upplevelse så bra och säker som möjligt, ge mig ett konkret exempel på en patch sedan Windows 10 kom som skapat mer som du säger "buggar" (vet inte vad du menar med att de skapar nya drivare, skapar de nya drivrutiner eller buggar i WHQL drivrutiner?) än vad den har åtgärdat.

Nvidia drivare... stup i kvarten.
AU uppdateringen som skapat problem med startmenyer, tömt folks hårddiskar.
En del ljudkort drivare, realtek tex, slutade fungera korrekt.
HDMI portar tex slutar fungera på laptops.
Spel slutar fungera korrekt. Måste ofta installeras om igen.
Wifi adaptrar slutar fungera och kan inte alltid konfigureras rätt.

Där är faktiskt en lång lista, och inte alla datorer påverkas på samma sätt, men extremt många har fått dessa problem genom större eller mindre uppdateringar, och de verkar inte avta, som ofta OS med "Service Pack 1" brukar göra.

Normalt har Windows RTM alltid varit lite buggigt och bråkigt. När SP1 kommer så rättas de flesta felen till och sen blir OSet så bra som det kan bli. Med Windows 10 är det som att ett nytt RTM vid varje ny patch. Sen måste man vänta 1-2 månader på att de ska laga alla initiella fel, varpå du precis innan nästa stora patch är så nära "SP1" som du kan komma. Där är mitt problem med Windows 10.

Skrivet av GonAce:

Utan konkret och säkerställd statistik så är dina åsikter bara spekulationer tyvärr, och spekulationer är inget man ska lägga någon större vikgt på.

Då frågar jag dig, var är de konkreta och säkerställa statistiken på att Windows 10 har fixat fler fel än de skapat, och att de inte alls skapar några nya problem? För folk "antar" att Windows är bättre, för de spekulerar detta. Men var är beviset?

För jag kan bevisa att jag fått lägga mer arbetstid på att fixa oförutsägbara fel i Windows 10 än jag behövt göra med Windows 7 och 8. Och i slutändan är det en nota som kostar företagen enorma summor pengar.

Trädvy Permalänk
Medlem
Plats
Åtvidaberg
Registrerad
Jul 2001

Är även många som fått problem med skrivare, främst nätverksskrivare. En dator på jobbet vägrar tex att acceptera att den inte får hantera standardskrivare själv. Så varje gång man använder ettikettskrivaren där så byter den till den som standardskrivare. Valet är deaktiverat, både i Inställningar och i registret. Men ändå. Och sen när man byter tillbaka, då behåller den marginaler och utskriftstorlek från Dymon till den vanliga skrivaren. Funkar skitbra!

Dessutom byter Windows 10 ut drivrutinen till min G27-ratt mot en till Logitech Driving Force varje gång jag kopplar ur och in den. Så måste ha den inkopplad. Annars måste man gå in och radera den dolda gamla G27'an ur enhetshanteraren och installera om Logitech Profiler-programet. Problemet dök upp i och med en patch och varken MS eller Logitech verkar ha nåt större intresse av att fixa det.

Sen har jag RIKTIGT svårt att förlåta dom för att de stängt av group policys i Windows 10 Pro. Förvisso ingen bugg men jag blir förbannad bara jag tänker på det. Är väl en grej om de sabbar ("förbättrar") funktioner. Men ta för i helvete in bort de jag hade i Windows 7 >_>

P8Z77-V | i5 3570K@4,4ghz | Evo 212 | 4x4GB Corsair LP | Inno3D GTX 970 Air Boss Ultra | Asus Xonar DGX
850 Evo 250GB & 2x500GB | WD Green 2TB | Asus PB278QR | Corsair 760T | CoolerMaster V850
HP Microserver Gen8 1610 | Corsair Force F80 80GB | 2x WD RED 1TB RAID 1 | 1x WD RED 2TB | 1x WD Green 1TB

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Okt 2001
Skrivet av Paddanx:

Nvidia drivare... stup i kvarten.
AU uppdateringen som skapat problem med startmenyer, tömt folks hårddiskar.
En del ljudkort drivare, realtek tex, slutade fungera korrekt.
HDMI portar tex slutar fungera på laptops.
Spel slutar fungera korrekt. Måste ofta installeras om igen.
Wifi adaptrar slutar fungera och kan inte alltid konfigureras rätt.

Där är faktiskt en lång lista, och inte alla datorer påverkas på samma sätt, men extremt många har fått dessa problem genom större eller mindre uppdateringar, och de verkar inte avta, som ofta OS med "Service Pack 1" brukar göra.

Normalt har Windows RTM alltid varit lite buggigt och bråkigt. När SP1 kommer så rättas de flesta felen till och sen blir OSet så bra som det kan bli. Med Windows 10 är det som att ett nytt RTM vid varje ny patch. Sen måste man vänta 1-2 månader på att de ska laga alla initiella fel, varpå du precis innan nästa stora patch är så nära "SP1" som du kan komma. Där är mitt problem med Windows 10.

Då frågar jag dig, var är de konkreta och säkerställa statistiken på att Windows 10 har fixat fler fel än de skapat, och att de inte alls skapar några nya problem? För folk "antar" att Windows är bättre, för de spekulerar detta. Men var är beviset?

För jag kan bevisa att jag fått lägga mer arbetstid på att fixa oförutsägbara fel i Windows 10 än jag behövt göra med Windows 7 och 8. Och i slutändan är det en nota som kostar företagen enorma summor pengar.

Har inte upplevt några problem med Windows 10 sedan jag intsallerade det, men det är ju min upplevelse och är absolut subjektiv. Att vissa drivrutiner slutar fungera behöver ju inte vara ett fel som orsakats av Microsoft?

Aboslut, håller med om att RTM sällan är redo att skeppas.. Micorsoft har väll påpekat att det inte framöver ska komma "större" uppdateringar som Service Pack, utan att det kontinueligt ska komma fixar, vilket jag personligen tycker är bättre.. "continuous delivery" är ur min mening ett bättre sätt att skeppa mjukvaru uppdateringar.

"För folk "antar" att Windows är bättre, för de spekulerar detta. Men var är beviset?"
- Bättre än vad? tidigare versioner? Andra Operativsystem? Jag har dessutom aldrig påstått att Windows 10 är bättre än varken 7, 8 eller något annat operativ system, det jag menar är att jag upplever Microsoft som en bättre organisation nu än för t.ex. 5 år sedan.

T.ex. .NET Core och hur de har anammat "continuous delivery"

Jag kan personligen inte säga att jag upplever det du gör med Window 10, jag har snarare upplevt det som bättre, mindre problem med mina virtuella maskiner som kör Windows 10, Windows Server 2016. Men som sagt det vi pratar om är två personers upplevelser som är ytters subjektiva.

Trädvy Permalänk
Medlem
Plats
::1
Registrerad
Feb 2007
Skrivet av Gtoxed:

förklara! ja gillar citatet

Finns en hel wikiartikel om det också https://en.wikipedia.org/wiki/Security_through_obscurity

< :: insert | impressive | computer | specifications | here :: >

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Maj 2014
Skrivet av GonAce:

Har inte upplevt några problem med Windows 10 sedan jag intsallerade det, men det är ju min upplevelse och är absolut subjektiv. Att vissa drivrutiner slutar fungera behöver ju inte vara ett fel som orsakats av Microsoft?

I dessa fall pratar vi ett fungerande Windows 10, som användaren inte gör något annat än att använda, som sen plötsligt får en patch, eller en ny automatisk drivrutin, varpå datorn får problem. Vem ska du skylla på? Användaren vill inget hellre än att sitta kvar på det som fungerande för 5 min sedan.

Skrivet av GonAce:

Aboslut, håller med om att RTM sällan är redo att skeppas.. Micorsoft har väll påpekat att det inte framöver ska komma "större" uppdateringar som Service Pack, utan att det kontinueligt ska komma fixar, vilket jag personligen tycker är bättre.. "continuous delivery" är ur min mening ett bättre sätt att skeppa mjukvaru uppdateringar.

"För folk "antar" att Windows är bättre, för de spekulerar detta. Men var är beviset?"
- Bättre än vad? tidigare versioner? Andra Operativsystem? Jag har dessutom aldrig påstått att Windows 10 är bättre än varken 7, 8 eller något annat operativ system, det jag menar är att jag upplever Microsoft som en bättre organisation nu än för t.ex. 5 år sedan.

T.ex. .NET Core och hur de har anammat "continuous delivery"

Bättre på vad? Felfria patcher? Kvalite på halvfärdiga produkter? Genomtänkt OS design? Eller bara rent ekonomiskt?

För mig är det mer viktigt att OSet som vi som slutanvändare "måste använda" är så bra som det går att få, för oss, inte för MS. Jag var utan tvekan villig att lägga ut 2500kr på Windows 7 Ultimate 2009... två gånger. Men jag är inte ens villig att ge 75kr för Windows 10 på en skum site, då OSet inte gör det jag behöver.

Min poäng dock var inte att säga... "det är skit, alla snälla sluta använd det". Utan min poäng var endast att besvara kritiken (från @Wyver) på varför jag har förståelse till varför vissa användare väljer att göra som de gör. Om du är nöjd, gör inget. Men vissa av oss är inte nöjda, och vi väljer att lösa problemet på annat sätt.

Skrivet av GonAce:

Jag kan personligen inte säga att jag upplever det du gör med Window 10, jag har snarare upplevt det som bättre, mindre problem med mina virtuella maskiner som kör Windows 10, Windows Server 2016. Men som sagt det vi pratar om är två personers upplevelser som är ytters subjektiva.

Då tycker jag att du ska stanna på Windows 10.
Som jag försöker säga, är man nöjd finns det ingen anledning att byta, men jag säger det jag gör för fler och fler blir faktiskt missnöjda med tiden. (Jag själv var för OSet och har testkört det sedan slutet på 2014 med preview).

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2001
Skrivet av philipborg:

Jag förstår inte hur du kan tycka att "förstöra hela ens liv"≈betala några programmerare för några timmar så de löser problemet.

Ledsen, men jag förstår inte överhuvudtaget hur du kan tycka det är en bra analogi. Analogin är så sjukt överdriven och skev att den tappade den ursprungliga anknytningen till situationen.

Du jämför ju två separata delar av analogin. Inte konstigt du inte förstår den då. Du kan inte jämföra effekten "förstöra hela ens liv" i en situation med antagen resursförbrukning för att lösa problemet i en helt annat situation. Vi har heller ingen aning om hur lång tid det tar att fixa det här hålet. Det kanske tar precis lika lång tid och lika mycket resurser som att flytta, skilja sig etc.

Jag ska förklara den så att du kanske förstår. Om vi delar upp analogin i fyra komponenter:

1, Information om någonting som kan användas i ont syfte.
I originalet har vi information om ett säkerhetshål vilket är misstag och en risk i en större mängd data. I min analogi så har vi en massa information om en person där man enkelt kan identifiera "säkerhetshål" i hur någon lever sitt liv. Typ att lämna nyckeln under dörrmattan. Koder till internetbanken etc.

2, Möjliga utfall om någon använder denna information
Om någon använder ett säkerhetshål i din dator så kan de digitalt utge sig för att vara du och göra det mesta. De kan exempelvis ta en massa lån och köpa saker vilket kan förstöra ditt finansiella liv för evigt. De kan också göra annat kriminellt som att sprida barnporr vilket troligtvis snabbt avslutar ditt förhållande och placerar dig i fängelse. Om någon besitter mycket information om mig som person och hur jag lever mitt liv så kan de hitta sätt att göra detsamma fast med fysisk access till min egendom. Inbrott för att sedan använda datorer eller bara sno saker. Identitskapning blir väldigt lätt om man har mycket information om folk. Då försvinner snabbt huset och kanske även jobbet.

3, Rättfärdigande av att sprida informationen
Det är ok att sprida information oavsett konsekvens förutsatt att man förvarnat.

4, Tid att ändra någonting så att information i 1 inte längre går att använda.
För säkerhetshål innebär detta programmering, testa detta i flerakonfigurationer etc. Säga upp sig på jobbet tar 10 sekunder. Det är bara att inte gå till jobbet längre. Flytta kan man också göra snabbt. Har du hyresrätt skickar man bara ett brev som är framme på 2-3 dagar. Detta gäller det mesta i folks liv. Sen finns det ju mer specifika saker som att byta ut sin brevlåda från en klassisk brevlåda vid vägen till någonting säkrare som inte vem som helst kan kolla.

Du jämför punkt 4 med punkt 2 vilket självklart innebär att analogin spricker. Överdriven blir den också då du jämför bästa tänkbara utfall för att rätta kod i punkt 4 med sämsta tänkbara utfall i punkt 2, förstört liv. Sanningen är att vi inte vet vad värsta utfallet av säkerhetshål är. De flesta påverkas inte alls av säkerhetshål... de flesta påverkas heller inte av att det i sverige är toklätt med identitetskapningar eftersom allt är öppet. Men risken finns där att det går riktigt åt helvete.

Det enda du bevisar med att du tycker det ena är så hemskt är att du inte tänkt igenom det här.

//Bacon

Trädvy Permalänk
Medlem
Plats
stockholm
Registrerad
Mar 2008
Skrivet av Equilibrium:

Jag skulle nog mer ha sagt "Shame on Google"

Dom borde inte ha nämnt hålet alls, jag ville inte få reda på att hackers kan komma åt W10.

Och jo visst är det ju lite dåligt att M$ inte har täppt till det.

Men tycker nog att Google borde ha hållit munnen stängd ända tills de hade fått bekräftelse om att hålet hade stängts.

Hålet var redan kännt innan google utalade sig om det.
Fast microsoft har ju varit dåliga på det tidigare också. Sätter man inte en deadline så tar de år innan de fixar skiten.

Trädvy Permalänk
Medlem
Registrerad
Nov 2013
Skrivet av tattis:

Va är jag så trött!? :D. Nämen om du "fäller upp" uppdateringarna så ser du att det finns 'Security fixes'. Dom skriver tom i summary:n för varje uppdateringen om uppdateringen innehåller säkerhetsuppdatering eller inte iom: "This update includes quality improvements and security fixes.". I den första jag fällde ut stod det iaf "Fixed security issues that could allow remote code execution when malware is run on a target system." (låter ju som en säkerhetsuppdatering om något!?). Det borde vara dessa (det är ju blandat bugfixes med securityfixes)...varför räknas dom (dessa 21) inte menar du?.

Att du inte orkar läsa innantill är uppenbart tyvärr, då du tar med PC och server versionen av Windows 10 där det finns en del säkerhetsuppdateringar. Rubriken på sidan är ju "Windows 10 and Windows Server 2016 update history" som även innehåller buggfixarna för Windows 10 mobile.

Säkerhetsuppdatering för PC och Serverver sker var månad Feb 2, (Mars 1 för v.1511), Mars 8, Apr 12, Maj 10, Jun 14, Jul 12, Aug 9, Sep 13 och Okt 11 enligt listan, alla övriga är inte säkerhetsuppdateringar utan enbart buggfix... Såsom Okt 27/11, Sep 29/20, Aug 31 o.s.v.

Så MS ger i snitt ut en Säkerhetsuppdatering i månaden, tvärsemot vad du vill göra gällande. MS är ingen religion!

Sen är det ändå lite MS fel att folk vil/får för sig att nära på allt är för Windows 10 mobile, då dom började med att bygga en sida som senare omriktades till den nu rådande sidan, kommentarer på nätet är att sidan var närapå tom ändå...

Microsoft seems to have only started working on the page, because no update has yet been mentioned or detailed on it. Microsoft has not officially launched Windows 10 Mobile, as strange as that may be, even though the OS is shipping on smartphones like Lumia 950 XL and Lumia 950.

Källa: http://betanews.com/2016/02/11/microsoft-introduces-windows-1...

Den rätta sidan med historiken för Lumia Windows 10 mobiler: https://support.microsoft.com/en-us/help/20513/firmware-updat...

Från den kan man läsa:
Firmware update history for Lumia phones with Windows 10 Mobile

01078.00042.16352.50xxx firmware update (September 2016) for Lumia 550/650. The availability of this update may depend on your phone model, region or network service provider. Key improvements in this release include:

01078.00053.16236.35xxx firmware update (July 2016) for Lumia 950/950 XL. The availability of this update may depend on your phone model, region or network service provider. Key improvements in this release include:

01078.00038.16082.360xx firmware release (March 2016) for Lumia 950/950XL. Combines fixes included in 01078.00038.16025.390xx firmware and10.0.10586.107 OS update for factory and repair channels (including Windows Device Recovery Tool). Not available via Over-The-Air (OTA).

01078.00027.15506.020xx firmware update (December 2015) for Lumia 950/950 XL. The availability of this update may depend on your phone model, region or network service provider. Key improvements in this release include:

01078.00037.16082.410xx firmware update (March 2016) for Lumia 550/650. The availability of this update may depend on your phone model, region or network service provider. Key improvements in this release include:

Det ger totalt 3 st uppdateringar för Lumia 950/950 XL
December 2015
March 2016
July 2016

Och totalt 2 st för Lumia 550/650
March 2016
September 2016

Märk att ingen av dom är securityuppdates utan endast buggfix...

Äldre mobiler som fått Windows 10 nämns inte då dom verkar vara utelämnade från uppdate, precis som med övriga mobil OS.

Bara för att vara snäll så ändrar vi listan, även om Windows 10 mobile borde få 0 (Noll):

iPhone: 13
Android: 8 (Nexus: 11)
Windows 10: 5

Har sett att det är ett he... att vara fannboy, så man får vara snäll

Skrivet av tattis:

Sedan om det dom själva skriver om:
"Our standing recommendation is that companies should fix critical vulnerabilities within 60 days -- or, if a fix is not possible, they should notify the public about the risk and offer workarounds. We encourage researchers to publish their findings if reported issues will take longer to patch. Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation. The reason for this special designation is that each day an actively exploited vulnerability remains undisclosed to the public and unpatched, more computers will be compromised."

Android hinner inte uppdateras på 7 dagar (se tidigare länkar) men andra företag skall minsann göra det. Windows är ingen liten maskin man bara patchar i en handvändning. Att man på Google tycker att det är en bra idé att sätta en och samma deadline för alla företag känns bara fel. Att sedan sätta den till 7 dagar så att stora företag måste stressa fram en fix är inte heller bra (det är så man öppnar upp fler säkerhetshål). Viktiga säkerhetshål måste lösas noggrant, sedan kodgranskas av minst en person, sedan testas noggrant, innan de släpps, vilket också tar tid (säkert några dagar med tanke på antalet maskiner).

Nä, Google borde helt enkelt jobba med sina OEM:er istället, för att själva kunna leverera snabba säkerhetsuppdateringar. Istället samlar man 'enkla poäng' genom att peka på konkurrenter och det blir vi konsumenter som blir lidandes. Det är bara att titta på detta exemplet: "Stagefright" MMS flaw (som har en maxad "allvarlighetsgrad"). Den är inte löst för alla ännu på 1.5år (dags att inse att ni måste göra något åt erat system nu Google). 1.5år och man gnäller på andra efter 7 dagar...jorasåatt...

Sedan följer jag din länk och läser saker som "As a result, after 7 days have elapsed without a patch or advisory, we will support researchers making details available so that users can take steps to protect themselves. By holding ourselves to the same standard, we hope to improve both the state of web security and the coordination of vulnerability management.". Seriöst, dags att uppdatera eran policy (är den lika gammal som din länk, dvs 3.5år?).

I din länk hittar jag även följande kommentar som är 'spot on':
"killbit said...

This is a fantastic policy for companies that are cloud based such as good. However those companies that provide enterprise software a customer has to install and test. is NOT going to be able to fix, test, release to customer, customer pick up the fix, customer test, submit change requests and deploy in < 7 days. You guys are going to expose more customers to these sorts of issues. Why not work with the companies to release guidance if they can't fix the issue. Google has no idea about enterprise customers. No enterprise is going to pick up any software from you they have to deploy.

May 30, 2013 at 1:15 PM"

Idén är jättebra av dom men utförandet...not so much.

Samma läs innantill vad dom skriver!
Dom har inte och kommer inte att sätt krav på att det ska fixas på 7 dagar, dumheter!

För allt som inte är känt ute i det vilda är det 60 dagar, då det inte utgör något direkt hot.
Men allt som är ute och i fullt bruk hos hackers är ett riktigt hot, som dom går ut med så man beroende på hotet själv förhoppningsvis till viss grad kan skydda sig mot, fram tills en fix är tillgänglig.

Precis som jag tidigare skrev, att en del vill stoppa huvudet i sanden och låtsas som att det regnar hjälper föga. Attackerna sker ju.
Eller man kan blunda och köra ut över stupet som man missade, eller vara vaken och se stupet i tid. Själv vet jag vilket jag väljer, var gång!

Skrivet av tattis:

Välkommen till Sweclockers: "Där allt är Microsofts fel"

Självfallet så kan det vara problematisk, skönt att offerkoftan då klär så bra
Kanske även värmer i dessa kyliga dagar, om nu hållen är tilltäppta

Du får ursäkta, men jag orkar inte driva med dig längre
Är enbart kul i början med fannboys för att senare bli tragiskt, förlåt

Engineer who prefer thinking out of the box and isn't fishing likes, fishing likes is like fishing proudness for those without ;-)
If U don't like it, bite the dust :D

Trädvy Permalänk
Medlem
Registrerad
Nov 2013
Skrivet av GonAce:

Har inte upplevt några problem med Windows 10 sedan jag intsallerade det, men det är ju min upplevelse och är absolut subjektiv. Att vissa drivrutiner slutar fungera behöver ju inte vara ett fel som orsakats av Microsoft?

Aboslut, håller med om att RTM sällan är redo att skeppas.. Micorsoft har väll påpekat att det inte framöver ska komma "större" uppdateringar som Service Pack, utan att det kontinueligt ska komma fixar, vilket jag personligen tycker är bättre.. "continuous delivery" är ur min mening ett bättre sätt att skeppa mjukvaru uppdateringar.

"För folk "antar" att Windows är bättre, för de spekulerar detta. Men var är beviset?"
- Bättre än vad? tidigare versioner? Andra Operativsystem? Jag har dessutom aldrig påstått att Windows 10 är bättre än varken 7, 8 eller något annat operativ system, det jag menar är att jag upplever Microsoft som en bättre organisation nu än för t.ex. 5 år sedan.

T.ex. .NET Core och hur de har anammat "continuous delivery"

Jag kan personligen inte säga att jag upplever det du gör med Window 10, jag har snarare upplevt det som bättre, mindre problem med mina virtuella maskiner som kör Windows 10, Windows Server 2016. Men som sagt det vi pratar om är två personers upplevelser som är ytters subjektiva.

Ca: 1 vecka efter att jag fått in Windows 10 Anniversary Update så körde MS en rollback i grafikdriver och tillhörande mjukvara för mig, en rollback som först skedde hos betatestare för Windows 10. En för mig helt oförklarlig handling.

Att starta en laptop och komman in i Windows med 640x480 när man har en FHD display är en speciell upplevelse.
Fick meddelande om att CCC inte kunde starta då ingen kompatibel drivrutin var funnen, förvånande då jag körde med Radeon Crimson 16.2.1.
Förstod att något hänt med AMD's mjukvara och drivrutin så det blev ominstallation av 16.2.1 och 2 st omstarter innan jag fick FHD och fungerade funktionstangenter för ljusstyrka.
Hittade sen en mapp med namnet "WU-CCC2" som troligen betyder "Windows Uppdate CCC" samt filer i windows temp som visade på en rollback från MS.
Söker man på "WU-CCC2" på Google så finner man som första träff: http://answers.microsoft.com/en-us/insider/forum/insider_wint...
Med datum 9 maj 2015.

Är för mig en gåta varför dom nu kör den igen...

Engineer who prefer thinking out of the box and isn't fishing likes, fishing likes is like fishing proudness for those without ;-)
If U don't like it, bite the dust :D

Trädvy Permalänk
Medlem
Registrerad
Nov 2013
Skrivet av shelter:

Tackar

Den wikin är mycket bra, om alla på Swec läst den och förstått så skulle denna tråd varit en bråkdel av vad den nu är

Engineer who prefer thinking out of the box and isn't fishing likes, fishing likes is like fishing proudness for those without ;-)
If U don't like it, bite the dust :D

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2008

Konstigt att folk är så snabba med att skylla på Google när MS är inblandad. Samma system funkar bra för öppen mjukvara och en zero-day patchas typiskt inom några timmar i stora Linux-distros. Varför kan inte MS göra samma sak med en enorm mängd betalda utvecklare på en vecka?

@Bacon: Vet inte ens hur jag ska börja med din analogi. Jag blir mörkrädd av att någon kan tro att publicering av ett säkerhetshål på något sätt är ekivalent med fullskalig utpressning.

Mjölnir: Ryzen 5 2400G | GA-AB350N | Ballistix Elite 16GB | Sapphire RX 470 8GB Miner Edition | IKEA Knagglig
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | Sapphire RX 580 8GB | Sapphire HD 5850 1GB | NZXT Switch 810