Microsoft kritiserar Googles hantering av säkerhetsuppdateringar

Trädvy Permalänk
Dalek
Registrerad
Dec 1999

Microsoft kritiserar Googles hantering av säkerhetsuppdateringar

I ett nytt inlägg på sin blogg kritiserar nu Microsoft Googles hantering av säkerhetsuppdateringar, där de menar att Google publicerar information om säkerhetshål för tidigt.

Läs hela artikeln här

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa leder till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Trädvy Permalänk
Medlem
Plats
Växjö
Registrerad
Mar 2012

Tur dem är ofelbara själva

Do good. Be good. Repeat.

Trädvy Permalänk
Medlem
Plats
Borås
Registrerad
Okt 2002

Google kör väl open source så de måste väl publicera ändringar de gör i källkoden? Man kan ju inte kompilera koden utan källkod så hur skulle de implementera det utan att först ändra i källkoden?

Trädvy Permalänk
Medlem
Plats
gbg
Registrerad
Nov 2007

MS har erfarenhet av hanteringen den typen av hantering sedan tidigare
-Inte helt Open Source men...

https://www.engadget.com/2017/10/17/microsoft-bug-database-hacked-in-2013/

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 16.04 LTS

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Maj 2014

Tänkte lite på det också @ronnylov då det finns en hel del 3:e part utvecklare av liknande webbläsare. Frågan är då om detta är en nackdel/problem med just open source, och hur ska man hantera den?

Var är liksom skillnaden mellan en hackare som aktivt letar efter denna typ av info, vs en som vill kompilera en patch för sin version av mjukvaran? De båda kommer ju ur open source synpunkt vara precis lika "vanliga personer" på utvecklings siter som Github.

MS är fortfarande besatta i att säkerhet är att dölja sina fel, vilket låter konstigt. @krigelkorren

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Feb 2011

Lite kulturkrockar här tror jag. Stängd källkod sitter ju i Microsofts DNA så att säga, medans Google kör open source. Visst har Microsoft blivit bättre men än är de inte lika öppna som google.

Så jag tycker faktiskt att Microsoft ska hålla käften och inte gapa så mycket. Man ska inte kasta sten i glashus.

ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook. Första inlägget i en tråd är sällan relevant när tid har förflutit. Vänligen svara på mitt senaste inlägg i tråden, inte det första, annars blir det kass.

Trädvy Permalänk
Avstängd
Plats
falun
Registrerad
Apr 2002

Låter stort när katten skiter för hur länge har inte t.e.x utilman/cmd haxxet funkat där man med control userpasswords2 byter lösen på admin kontot innan man loggar in i windows utan UAC eller windows defender bryr sig och med sånna problem kanske man bara ska sitta där och hålla käften

i3 6100 - MSI b150m pro-vd - 8gb 2133 ddr4 - GTX 950 GAMING 2G - z400s 120gb ssd - 1tb WD blue - Corsair 500w

Trädvy Permalänk
Medlem
Registrerad
Okt 2009

@ronnylov: Problemet var väl att det tog 3 dagar innan ändringen landande i Chrome Stable build så att säga. Under tiden ligger buggen uppe för alla att se. Det tar väl inte 3 dagar att kompilera Chrome?

Trädvy Permalänk
Medlem
Plats
Falun
Registrerad
Dec 2003
Skrivet av ronnylov:

Google kör väl open source så de måste väl publicera ändringar de gör i källkoden? Man kan ju inte kompilera koden utan källkod så hur skulle de implementera det utan att först ändra i källkoden?

Du anser alltså att byråkrati, manuella rutiner och programmatiska hinder gör det legitimt att göra på det sättet?

Ändringarna behöver inte publiceras innan ny version finns.
Det går att kompilera koden utan att publicera förändringarna.

ηλί, ηλί, λαμά σαβαχθανί!?

Trädvy Permalänk
Inaktiv
Registrerad
Nov 2010

Microsoft har rätt i att detta aktuella fel var dåligt hanterat av Google.

Sedan vilken som hanterar fel stämst i vanliga fall är en helt annan fråga.

Trädvy Permalänk
Medlem
Registrerad
Jun 2003

Googles stora problem är

1. Deras säkerhetsuppdateringar på Android når bara deras egna telefoner omedelbart. Alla andra får dem mycket senare eller inte alls.

2. Återkommande malware på Google Play Store som de inte lyckas stoppa i god tid. Senast för någon dag sedan var det en bunt appar som spred botnet malware och hade miljontals nerladdningar.

Trädvy Permalänk
Avstängd
Registrerad
Jul 2017

WPA2/KRACK buggen är väl heller inte fixad i Android ännu. Det får tydligen vänta till November patchen av Android.

Trädvy Permalänk
Medlem
Plats
Borås
Registrerad
Okt 2002
Skrivet av Smurfn:

@ronnylov: Problemet var väl att det tog 3 dagar innan ändringen landande i Chrome Stable build så att säga. Under tiden ligger buggen uppe för alla att se. Det tar väl inte 3 dagar att kompilera Chrome?

I teorin skulle du själv kunnat kompilera en build från källkoden direkt när den släpptes om du hade haft mer bråttom. Normalt lägger man in buggfixar i en unstable bransch innan den hamnar i stable så 3 dagar låter som ganska snabb hantering ändå kan jag tycka.

Men jag är inte helt säker på om chrome är öppen källkod helt och hållet så att man själv kan kompilera det? Chromium är ju det men chrome har väl en del extra saker inlagda.

Själv föredrar jag att kod är öppen så den kan granskas innan man installerar den. Vem vet vilka nya buggar som kan ha införts. Tack vare att koden är öppen får man kanske in nya buggrapporter och förslag på buggfixar från andra som tittat på koden. Då är det ju bara bra att det legat öppet så de inte släpper något ingen kunnat titta på.

Finns två sidor alltså. Å ena sidan kan öppen kod utnyttjas i onda syften av andra men å andra sidan kan öppen kod hindra onda syften eller misstag från tillverkaren samt också göra att folk lämnar in förbättringsförslag. Med hemlig kod har man ju ingen aning om vad koden gör.

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Apr 2002
Skrivet av knge:

WPA2/KRACK buggen är väl heller inte fixad i Android ännu. Det får tydligen vänta till November patchen av Android.

Den är inte fixad på iOS heller. Frågan är om den är fixad till Windows Phone, hade inte förvånat mig om den inte var det.

..:: trickeh2k ::.. https://youtube.com/c/trickeh2k Windows 10 Pro - i7 8700k (delid) @ 5Ghz - ASUS Prime Z370-A - 16GB G.Skill Trident Z DDR4 CL14 3000Mhz - Corsair AX860i - EVGA GTX 1080Ti FTW3 Hydrocopper - Acer Predator XB271HU - ASUS VG248QE - QPAD MK-85 (MX-Brown)/SteelSeries Sensei RAW Rubberized - Samsung 960 EVO 250GB, Samsung EVO 860 500GB, SanDisk Ultra II 480GB, 3TB Seagate Barracuda - ASUS Xonar DX - ASUS Strix 7.1 Gaming Headset - Corsair 750D - Custom water loop

Trädvy Permalänk
Medlem
Plats
gbg
Registrerad
Nov 2007

@Paddanx: Ja det är konstigt "Security by obscurity" tycker jag är en hyfsat en dålig strategi i sammanhanget.

Alla -utom dem som vet eller tar reda på- är generellt sett att betrakta som villebråd.
Scenariot, i mitt exempel, blir då att företaget -i detta fall MS- känner till sårbarheten samt att den/dem som stal databasen känner till, övriga vet inte.

Om en sårbarhet upptäcks och uppmärksammas offentligt kan man själv besluta om att vidta åtgärder för att minska skadan till dess att patchar finns.
Om sårbarheten inte förmedlas kan system stå/förbli oskyddade samt bidra till att organisationer/företag/användare är helt ovetandes om att det finns en attackyta som kan utnyttjas. Hackarna gottar sig.

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 16.04 LTS

Trädvy Permalänk
Medlem
Plats
C:/
Registrerad
Jul 2012
Skrivet av krigelkorren:

@Paddanx: Ja det är konstigt "Security by obscurity" tycker jag är en hyfsat en dålig strategi i sammanhanget.

Alla -utom dem som vet eller tar reda på- är generellt sett att betrakta som villebråd.
Scenariot, i mitt exempel, blir då att företaget -i detta fall MS- känner till sårbarheten samt att den/dem som stal databasen känner till, övriga vet inte.

Om en sårbarhet upptäcks och uppmärksammas offentligt kan man själv besluta om att vidta åtgärder för att minska skadan till dess att patchar finns.
Om sårbarheten inte förmedlas kan system stå/förbli oskyddade samt bidra till att organisationer/företag/användare är helt ovetandes om att det finns en attackyta som kan utnyttjas. Hackarna gottar sig.

Nu förutsätter ju du dock att informationen når ut till alla drabbade och att dessa direkt agerar. I praktiken lär det bli så att de som vill utnyttja hållet för att göra skada är de som är först ut genom dörren, snarare än de som vill skydda mot hålet. Att skydda tar ju dessutom oftast längre tid att genomföra än att skada när det gäller säkerhetshål i program.

Så jag är inte helt såld på dina tankar

Skickades från m.sweclockers.com

Bärbar: MBP TB 13.3" | Late 2016 | 512 GB.
Stationär: i5-4670K @ 3.4 GHz Quad | Asus GTX 980 | 8 GB 1333 MHz RAM | 500 GB SSD | 1 TB HDD

Trädvy Permalänk
Medlem
Plats
#Archlinux
Registrerad
Jun 2007
Skrivet av knge:

WPA2/KRACK buggen är väl heller inte fixad i Android ännu. Det får tydligen vänta till November patchen av Android.

Skrivet av trickeh2k:

Den är inte fixad på iOS heller. Frågan är om den är fixad till Windows Phone, hade inte förvånat mig om den inte var det.

Det är fixat i LineageOS

Skrivet av ronnylov:

I teorin skulle du själv kunnat kompilera en build från källkoden direkt när den släpptes om du hade haft mer bråttom. Normalt lägger man in buggfixar i en unstable bransch innan den hamnar i stable så 3 dagar låter som ganska snabb hantering ändå kan jag tycka.

Men jag är inte helt säker på om chrome är öppen källkod helt och hållet så att man själv kan kompilera det? Chromium är ju det men chrome har väl en del extra saker inlagda.

Själv föredrar jag att kod är öppen så den kan granskas innan man installerar den. Vem vet vilka nya buggar som kan ha införts. Tack vare att koden är öppen får man kanske in nya buggrapporter och förslag på buggfixar från andra som tittat på koden. Då är det ju bara bra att det legat öppet så de inte släpper något ingen kunnat titta på.

Finns två sidor alltså. Å ena sidan kan öppen kod utnyttjas i onda syften av andra men å andra sidan kan öppen kod hindra onda syften eller misstag från tillverkaren samt också göra att folk lämnar in förbättringsförslag. Med hemlig kod har man ju ingen aning om vad koden gör.

Chrome är inte helt OpenSource nej, Den kommer med deras proprietära tjänster som inbyggd Flash, PDF läsare och lite annat smått.

Arch - Makepkg, not war -||- Asus Crosshair Hero VI -||- GSkill 16GiB DDR4 15-15-15-35-1T 3466Mhz -||- AMD 1600x @ 4.1GHz -||- nVidia MSI 970 Gaming -||- Samsung 850 Pro -||- EVEGA G2 750W -||- Corsair 570x -||- Asus Xonar Essence STX -||- Sennheiser HD-650 -||
Arch Linux, one hell of a distribution.

Trädvy Permalänk
Medlem
Plats
Södertälje
Registrerad
Aug 2007

Nu tänker jag inte just google vs ms.
Tycker alltid det är en en svår avvägning. Kunderna ska garanterat ha rätt till att känna till säkerhetsbrister och det så snart som möjligt. Problemet är ju den skada det kan ge om man informera personer som annars inte hade tänkt på att leta efter problemet mer eller mindre hur man gör för att använda problemet. Och det innan man själv har börjat få färdig en fix.
Som svår avvägning. Jag har inget bra svar, känns mer som att det oftast blir mer fel än rätt.

CPU: i7 3770k@4,50Ghz MB Z77X-D3H RAM: 16GB@2133mhz (10-12-11-27 2T)
GPU: 980Ti@1404,8 Sound: SB-Z -> toslink (DTS)-> old JVC. MB Via to Z-2300 for VOIP. http://valid.x86.fr/nf1u3d https://www.techpowerup.com/gpuz/gxryb

Trädvy Permalänk
Medlem
Plats
Skåne
Registrerad
Jan 2011
Skrivet av knge:

WPA2/KRACK buggen är väl heller inte fixad i Android ännu. Det får tydligen vänta till November patchen av Android.

Det är redan fixat i Lineage, la in det igår.

Stationär:Asrock P67 Extreme 4 | i5 2500K@4.5Ghz | Asus GTX 970 black Överklockad | Samsung Evo 960 1TB, 2x WD blue 5TB | 8GB Corsair XMS3 + 8GB Hyper x Fury | EVGA Supernova G2 750W Gold | Silverstone FT02
Laptop: Dell XPS 15 2017
Mobil: Oneplus 6 128GB

Trädvy Permalänk
Medlem
Plats
Tyskland
Registrerad
Dec 2008
Skrivet av HatMine:

Nu förutsätter ju du dock att informationen når ut till alla drabbade och att dessa direkt agerar. I praktiken lär det bli så att de som vill utnyttja hållet för att göra skada är de som är först ut genom dörren, snarare än de som vill skydda mot hålet. Att skydda tar ju dessutom oftast längre tid att genomföra än att skada när det gäller säkerhetshål i program.

Så jag är inte helt såld på dina tankar

Skickades från m.sweclockers.com

Du förutsätter att de "onda" är helt okunniga och inte klarar av att hitta felen själva. Det är något vi vet är inte sant då de har väldigt många och väldigt duktiga personer på sin sida. Så det är bra sannolikhet att de "onda" vet redan om det hela.

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av Ozzed:

Lite kulturkrockar här tror jag. Stängd källkod sitter ju i Microsofts DNA så att säga, medans Google kör open source. Visst har Microsoft blivit bättre men än är de inte lika öppna som google.

Så jag tycker faktiskt att Microsoft ska hålla käften och inte gapa så mycket. Man ska inte kasta sten i glashus.

Vet inte om jag missat något(?) eller om vi lever på olika planeter men:

"Over the past couple of years, Microsoft has, under the reign of CEO Satya Nadella, embraced open source like never before.

It’s a remarkable shift for the Redmond giant, which traditionally kept its trade secrets and powerful technologies behind closed doors. One major sign of that is new data from GitHub, which is home to some of the Web’s biggest collaborative code projects.

The company, which counted more than 5.8 million active users on its platform over the past 12 months, noted that Microsoft topped the list of organizations with the most open source contributors."

källa: github

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Feb 2011
Skrivet av tattis:

Vet inte om jag missat något(?) eller om vi lever på olika planeter men:

"Over the past couple of years, Microsoft has, under the reign of CEO Satya Nadella, embraced open source like never before.

It’s a remarkable shift for the Redmond giant, which traditionally kept its trade secrets and powerful technologies behind closed doors. One major sign of that is new data from GitHub, which is home to some of the Web’s biggest collaborative code projects.

The company, which counted more than 5.8 million active users on its platform over the past 12 months, noted that Microsoft topped the list of organizations with the most open source contributors."

https://cdn1.tnwcdn.com/wp-content/blogs.dir/1/files/2016/09/Microsoft-tops-GitHubs-list-of-orgs-with-open-source-contributors.jpg
källa: github

Läs mitt inlägg igen. Särskillt: "Visst har Microsoft blivit bättre men än är de inte lika öppna som google."

ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook. Första inlägget i en tråd är sällan relevant när tid har förflutit. Vänligen svara på mitt senaste inlägg i tråden, inte det första, annars blir det kass.

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av Ozzed:

Läs mitt inlägg igen. Särskillt: "Visst har Microsoft blivit bättre men än är de inte lika öppna som google."

Jag läser igen och reagerar på "men än är de inte lika öppna som google.".
Har du någon källa på detta Ozzed?

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Feb 2011
Skrivet av tattis:

Jag läser igen och reagerar på "men än är de inte lika öppna som google.".
Har du någon källa på detta Ozzed?

Behöver du en källa på att mycket av Microsofts programvaror är closed source?

ozzed.net Min egenkomponerade 8-bit musik. Gillar du musiken från gamla klassiska NES eller Gameboy och liknande är det värt ett besök. :) Jag finns också på Spotify, Bandcamp, Jamendo, Youtube, och du kan även följa mig på Twitter och Facebook. Första inlägget i en tråd är sällan relevant när tid har förflutit. Vänligen svara på mitt senaste inlägg i tråden, inte det första, annars blir det kass.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2009
Skrivet av knge:

WPA2/KRACK buggen är väl heller inte fixad i Android ännu. Det får tydligen vänta till November patchen av Android.

För oss som nu får den uppdateringen vill säga. Android är ju ökänt för att vara selektiv med sina uppdateringar

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!

Trädvy Permalänk
Medlem
Plats
Falun
Registrerad
Dec 2003
Skrivet av tattis:

Vet inte om jag missat något(?) eller om vi lever på olika planeter men:

"Over the past couple of years, Microsoft has, under the reign of CEO Satya Nadella, embraced open source like never before.

It’s a remarkable shift for the Redmond giant, which traditionally kept its trade secrets and powerful technologies behind closed doors. One major sign of that is new data from GitHub, which is home to some of the Web’s biggest collaborative code projects.

The company, which counted more than 5.8 million active users on its platform over the past 12 months, noted that Microsoft topped the list of organizations with the most open source contributors."

https://cdn1.tnwcdn.com/wp-content/blogs.dir/1/files/2016/09/Microsoft-tops-GitHubs-list-of-orgs-with-open-source-contributors.jpg
källa: github

Microsoft har långt kvar men det är på god väg. Microsoft har aldrig varit en kämpe för öppen källkod och har gjort galna beslut. Det går inte att göra annat än att applådera för att det är på bättringsvägen.

En liten grej om "contributors"...
Contributors är en intressant "metric" som github använder. Värt att notera att exempelvis en buggrapportering från person X räknar in personen som en "Contributor". Skriver man i diskussionsdelen i ett projekt räknas man också in. Det är troligtvis inte fel att räkna in det men jämförelsemässigt så KAN det bli missvisande då en dålig produkt med många felaktiga beslut "rankas högre" än de som är bra.

ηλί, ηλί, λαμά σαβαχθανί!?

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Maj 2014
Skrivet av HatMine:

Nu förutsätter ju du dock att informationen når ut till alla drabbade och att dessa direkt agerar. I praktiken lär det bli så att de som vill utnyttja hållet för att göra skada är de som är först ut genom dörren, snarare än de som vill skydda mot hålet. Att skydda tar ju dessutom oftast längre tid att genomföra än att skada när det gäller säkerhetshål i program.

Så jag är inte helt såld på dina tankar

Skickades från m.sweclockers.com

Förstår oron, och har delade åsikter själv.

Men frågan är då mer... om du nu väntar och patchar det i alla stängda system, men inte låter de öppna säkras i tid, blir det mer säkert? De som vinner på det är ju de stängda systemen, men de som är öppna förlorar på det, då de hela tiden måste komma i kapp.

Och om de stängda vägrar ta tag i det och öppet fixa det, som i MS databas ovan... eller Yahoo som blir hackat gång på gång... är det bättre? Om nu stängd källkod är så bra, varför måste vi ha så enormt många säkerhetspatchar från dessa tillverkare av dem? De borde ju vara säkra, eller?

Min poäng är, din åsikt ovan förutsätter att hackarna endast kan använda "ett hål", om någon berättar den för dem, vilket inte är sant. De letar hål konstant... Men däremot de som ska säkra allt hade ju säkrat hålen om de vetat om dem. Så de om någon behöver ju denna infon så snabbt som möjligt. Så väntar man är risken att hålen hamnar hos en hackare ändå, och du sitter på pottan ändå.

Kommer detta leda till en större osäkerhet i mellan "släppt öppet" och "patchat"... helt klart. Men är det viktigaste inte att man säkrar det på alla ställen (öppen källkod som stängd), istället för att riskera att en hackare får infon på annat sätt? Om de som ska säkra det är snabba också, minimerar man ju riskerna. (Och låter hackarna jaga sina egna svansar istället...)

Skrivet av Christley:

För oss som nu får den uppdateringen vill säga. Android är ju ökänt för att vara selektiv med sina uppdateringar

Detta kan du skylla på tillverkaren av din telefon. De som kör rent android får faktiskt massor med patchar. Min Motorola tex får patchar mer ofta än jag ens önskar... så att säga, med dens rena Android. Så nästa gång du väljer telefon... välj en som har bra uppdateringar och rent Android system.

De som modifierar sina (även operatörer som gör det) är i sin tur sedan ansvariga för att dessa underhålls. Så gnäll på dem...

Trädvy Permalänk
Medlem
Plats
C:/
Registrerad
Jul 2012
Skrivet av Paddanx:

Förstår oron, och har delade åsikter själv.

Men frågan är då mer... om du nu väntar och patchar det i alla stängda system, men inte låter de öppna säkras i tid, blir det mer säkert? De som vinner på det är ju de stängda systemen, men de som är öppna förlorar på det, då de hela tiden måste komma i kapp.

Och om de stängda vägrar ta tag i det och öppet fixa det, som i MS databas ovan... eller Yahoo som blir hackat gång på gång... är det bättre? Om nu stängd källkod är så bra, varför måste vi ha så enormt många säkerhetspatchar från dessa tillverkare av dem? De borde ju vara säkra, eller?

Min poäng är, din åsikt ovan förutsätter att hackarna endast kan använda "ett hål", om någon berättar den för dem, vilket inte är sant. De letar hål konstant... Men däremot de som ska säkra allt hade ju säkrat hålen om de vetat om dem. Så de om någon behöver ju denna infon så snabbt som möjligt. Så väntar man är risken att hålen hamnar hos en hackare ändå, och du sitter på pottan ändå.

Kommer detta leda till en större osäkerhet i mellan "släppt öppet" och "patchat"... helt klart. Men är det viktigaste inte att man säkrar det på alla ställen (öppen källkod som stängd), istället för att riskera att en hackare får infon på annat sätt? Om de som ska säkra det är snabba också, minimerar man ju riskerna. (Och låter hackarna jaga sina egna svansar istället...)

Jag är med på vad du säger, men det jag tänker är ju att just eftersom hackare ständigt letar efter hål, så är det ju inte otänkbart att de snabbt börjar utnyttja hålet medan säkerhetspersonalen ännu inte hunnit agera, och under denna tid kan det bli problem, vilket jag ser att du även skrivit att du är med på. Sedan är det ju kanske värt att förtydliga att det i det här fallet inte handlar om att problemet hålls dolt från säkerhetsföretagen, utan att detaljerna om problemet hålls dolda för allmänheten tills det är helt täppt.

Jag vill också ta exemplet med hålet som hittats i WPA2 nyligen. Som jag förstått det har man där valt att inte gå ut med koden som utnyttjar hålet, utan väntar några veckor så att utvecklarna ska få en chans att täppa igen hålet så det inte blir "kaos". Och det tycker jag fortfarande låter som det rimligare tillvägagångssättet.

Bärbar: MBP TB 13.3" | Late 2016 | 512 GB.
Stationär: i5-4670K @ 3.4 GHz Quad | Asus GTX 980 | 8 GB 1333 MHz RAM | 500 GB SSD | 1 TB HDD

Trädvy Permalänk
Medlem
Plats
Tellus
Registrerad
Sep 2006
Skrivet av Commander:

Det är fixat i LineageOS

Gratulerar till dessa 0.00000000000001%:en då.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2008

Åter igen visar Microsoft att de inte greppar vad "open source" egentligen innebär. Genom att publicera patchen kan de som distruberar kompilerade versioner av koden, t.ex. Debian, Red Hat och Novell, dra nytta av fixen direkt. Debian till exempel patchade mot KRACK flera timmar innan nyheten plockades upp av "mainstream media" tack vare att patchar dök upp väldigt snabbt och att de, precis som många andra stora distributioner, har ett eget alert säkerhetsteam som porterar patchar till deras stabila versioner av paketen.

Med det sagt är 3 dagar trots allt en ganska kass responstid för en förstapartsdistribution som Chrome i Windows, om nu uppgifterna stämmer. Misstänker att siffrorna är saltade med alla möjliga extra förseningar som Microsoft kunde hitta, till exempel genom att kolla på "worst case" för Googles egna uppdateringstjänst. Google brukar trycka ut uppdateringar gradvis för att minska lasten på sina servrar så jag tvivlar mycket starkt på att 3 dagar gäller alla system.

Skickades från m.sweclockers.com

Mjölnir: Ryzen 5 2400G | GA-AB350N | Ballistix Elite 16GB | Sapphire RX 470 8GB Miner Edition | IKEA Knagglig
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | Sapphire RX 580 8GB | Sapphire HD 5850 1GB | NZXT Switch 810