X
Kommentare zu:

Google stänkert:
Microsoft lässt GDI-Sicherheitslücke ungepatcht

oder

Zugangsdaten vergessen?

Jetzt kostenlos Registrieren!
[o2] hangk am 18.02. 17:48
anstatt den thematischen schwerpunkt in diesem artikel auf google zu legen, wäre es vielleicht sinnvoller zu hinterfragen warum ms teilweise dermaßen lange benötigt sicherheitslücken zu schließen?!
[re:1] wertzuiop123 am 18.02. 18:10
+9 -
@hangk: Das gibt weniger Streitereien und weniger Kommentare hier. Ergo weniger Werbeeinnahmen und so
[re:2] eragon1992 am 18.02. 21:50
+9 -5
@hangk: Vielleicht sollte Microsoft damit aufhören, immer mehr Entwickler von Windows abzuziehen und für die Entwicklung der Android Apps einzusetzen. Microsoft sollte wirklich wieder mehr Rescourcen für die Windows-Entwicklung und Fehlerbehebungen einsetzen, anstatt ständig neue Android Apps zu veröffentlichen und sie zu warten.
[re:1] CARL1992 am 18.02. 22:19
+4 -5
@eragon1992: als ob MS Entwickler von eins ihrer Hauptprodukten abzieht um Android Apps zu entwickeln, in welcher welt lebst du ?

die Android App Entwickler sind eine hand voll von Entwicklern die Apps als design Ideen entwickeln mehr nicht
[re:1] ElGonzales am 19.02. 15:16
+3 -
@CARL1992: Als ob Entwickler erst mal eben ein paar Monate im Windows GDI Bereich rumentwickeln, dann meinetwegen zur Windows Mobile Abteilung versetzt werden und nun etwas Android Apps zu schreiben...obwohl - eigentlich ergibt das alles nur so Sinn :D
[re:2] HeadCrash am 19.02. 01:32
+4 -4
@eragon1992: Es werden keine Windows-Entwickler abgezogen, um Android-Apps zu bauen, das ist absoluter Unsinn.
[re:3] Selawi am 19.02. 05:15
+3 -3
@hangk: Aber wenn MS gegen Google hetzt ist das Ok ?

Stichwort: Scroogle - Gekaufte Anti-Google-Artikel von MS.

Merke:
Kein System ist ohne Fehler, kein Unternehmen fehlerfrei...und gegenseitiges
anstänkern gehört einfach dazu. Kein Grund sich aufzuregen.
Denn jeder von den beiden hat genug Dreck vor der eigenen Haustür.
Genauso wie alle anderen auch.
[o3] Rulf am 18.02. 17:51
+9 -4
damit hier keine unklarheiten aufkommen: zero-day-lücke heißt, daß diese lücke schon aktiv ausgenutzt wird...da ist ein längeres verschweigen gegenüber den usern schon etwas mehr als fahrlässig...und wenn ein großkonzern eine schon detailiert gemeldete lücke in einem ganzen jahr nicht beheben kann, dann sollte der schlicht und einfach in volle haftung für alle dadurch entstandenen schäden genommen werden, so wie es in der hw-industrie üblich ist...ein ganzens jahr ist in der sw-branche schließlich schon ne ganze ewigkeit...
das nichtschließen dieser lange bekannten lücke stellt auch schön die nsa-garantie ins richtige licht...
da kann sich jeder leicht sein teil zu denken...
[re:1] 0711 am 18.02. 18:23
+7 -4
@Rulf: Woher kommt denn bitte die definition dass es aktiv ausgenutzt wird? Das heißt "zero day" mitnichten....
[re:1] otzepo am 18.02. 21:40
+3 -1
@0711: Wenn es noch nicht genutzt werden würde hätte die Entwickler mehr Zeit zum Patchen als null Tage.
[re:1] 0711 am 18.02. 23:24
+4 -4
@otzepo: die lücke wurde veröffentlicht, ausgenutzt wird sie nach derzeitigem stand nicht...aber ganz generell, google kennt eine lücke, warum sollte die sonst niemand kennen? Die zeit für die Entwickler ist abgelaufen und google handelt richtig mit der Veröffentlichung um den druck zu erhöhen, kunden/Nutzer für die Problematik zu sensibilisieren/warnen, MS hat hier ganz klar versäumt in einer vertretbaren zeit zu reagieren. (unabhängig von der schwere oder der ausnutzbarkeit der lücke)
[re:2] SunnyMarx am 18.02. 19:27
+4 -1
@Rulf: Wo steht denn, dass die Lücke bereits aktiv ausgenutzt wird? Zumal, wenn man manipulierte Bibliotheken in ein System bekommen muss, um diese GDI-Lücke ausnutzen zu können, ganz andere Lücken zu schließen wären, bevor man sich dieser hier annehmen sollte.
[o4] wingrill9 am 18.02. 18:26
Hat Google nicht selbst mit sich zu tun in dieser Hinsicht? 0.o
[re:1] Thaquanwyn am 18.02. 19:36
+8 -4
@wingrill9: ... du springst also auch von der Brücke, wenn dein Nachbar das tut? Sorry - aber deine Aussage, so richtig sie auch sein mag, hat hier nichts zu suchen.

Wenn es wahr ist, dass dieser Vorwurf berechtigt ist, dann ist das Versäumnis von MS nicht zu tolerieren - Punkt!
Eine Firma, die eine bekannte Zero-Day-Lücke nach fast einem Jahr immer noch nicht vernünftig gepatcht hat, kann man im Endeffekt nur noch kriminell nennen ...
[re:1] wingrill9 am 18.02. 21:19
+7 -6
@Thaquanwyn: Pff... Das ist nur ein Mäkeln eines Konkurrenten. Google sollte vor der eigenen Tür kehren.
[re:1] eragon1992 am 18.02. 21:53
+5 -4
@wingrill9: Jepp, da hast du recht. Bei Android wartet man viel länger auf Sicherheitsupdates, falls sie überhaupt für das eigene Smartphone irgendwann mal verfügbar sind. Google sollte sich da wirklich erstmal um das eigene löchrige Android System kümmern.
[re:1] wingrill9 am 18.02. 22:02
+3 -2
@eragon1992: Ja, es auch so, dass dieser Fingerzeig auf ein gleichwertiges Unternehmen eher wie ein Verpetzen wirkt. Hat das Google nötig? Denke nicht.
[re:2] Thaquanwyn am 18.02. 23:15
+7 -3
@eragon1992: ... du lügst dir doch in die eigene Tasche - oder bist du schon so betriebsblind, um nicht zu erkennen, wie fahrlässig das Vorgehen von Microsoft ist?

Und das Google sich mehr um Android kümmern sollte, stelle ich gar nicht in Zweifel, doch es bleibt für mich dabei, dass man eine Baustelle nicht gegen die andere aufrechnen kann ...
[re:3] Selawi am 19.02. 05:32
+2 -6
@wingrill9: MS und Google gleichwertig ?...wohl kaum.

Auf der Rangliste steht Google auf Platz 1 und MS mittlerweile
auf Platz 5 abgerutscht
Selbst das hierzulande AFAIK noch nicht einmal vertretene AT&T
ist wertvoller als MS

Aber....wenn MS tatsächich eine bekannte Lücke ein ganzes Jahr
lang offen lässt, ist das nicht viel anders, wie den ganzen
ungepatchten billigen China-Android-Möhren.
Und Google darf hier durchaus dazu etwas sagen....ist ja bei
MS nicht das erste mal, das sie lange bekannte Löcher erst
geschlossen haben, nachdem Google die Sache veröffentlichte.
[re:4] Chris Sedlmair am 20.02. 15:56
+ -1
@wingrill9: Doch, sie haben es nötig....
[re:2] Thaquanwyn am 18.02. 23:14
+3 -3
@wingrill9: ... für mich hat das nichts mit Verpetzen zu tun! Google hat Microsoft innerhalb eines ganzen Jahres zweimal auf eine Zero-Day-Lücke hingewiesen, und der Fehler ist trotzdem immer noch nicht vernünftig behoben.

Ergo hat sich Google wohl gesagt, wenn das nicht im Stillen geht, müssen wir eben an die Öffentlichkeit gehen. Und das Google dabei möglicherweise auch so etwas wie Schadenfreude empfindet, will ich erst einmal gar nicht in Abrede stellen ... ;-))
[o5] Tintifax am 18.02. 18:49
wenn Google genausoviel Zeit aufwenden würde in Android die schlimmen Probleme zu beheben, die sie aufwendet andere anzupatzen, wär Android vielleicht etwas sicherer...
[re:1] Stefan1200 am 19.02. 09:34
+3 -1
@Tintifax: Tun die doch, Google hat ebenfalls seit 1,5 Jahren jeden Monat einen "Patchday" für Android. Nur leider interessiert dass die meisten Hersteller nicht (insbesondere bei den günstigeren Modellen).
[re:1] Niccolo Machiavelli am 19.02. 10:43
+3 -2
@Stefan1200: Das wissen die Honks sehr wohl. Passt ihnen argumentativ aber nicht in den Kram, da sie sonst nur die Hersteller aber nicht Google anschwärzen könnten.
[re:1] Tintifax am 19.02. 11:19
+7 -3
@Niccolo Machiavelli: Solange Honks nicht kapieren dass das dem User vollkommen egal ist, und nicht jeder sein Leben damit verbringen wollen diese Patches zu suchen und auch zu finden, solange fanboys wie du nicht kapieren dass Google hauptverantwortlich dafür ist dass ein Großteil der Android Geräte in der kompletten Lebenszeit ungepatcht bleibt, solange wird es die Diskussion geben. Google ist hauptverantwortlich für die unzähligen Malwareschleudern die im Umlauf sind. Ein System groß machen und dann für Konzeptprobleme nicht verantowrtlich sein wollen,.... aber egal, passt schon, ist ja "Freiheit" sich sowas zu kaufen
[o6] dustwalker13 am 18.02. 20:17
Liebes Winfuture Team: bei so einem Artikel wäre die genaue Art des Fehlers interessant, ebenso wie die verifizierung des ZeroDay Kriteriums.

Letztes Mal als von ZeroDay die Rede war und Google die mangelnde Sicherheit von Windows angeprangert hat, war die "Schwachstelle" nur ausnutzbar, wenn man physisch vor dem Rechner gesessen ist. von ZeroDay kann da echt keine Rede sein.

Gibt es denn dieses Mal eine Bestätigung, dass es sich tatsächlich um Remote nutzbare Schwachstellen handelt? Oder braucht Google nur wieder Munition und schickt "Journalisten" die nicht nachprüfen vor (es scheint ja recht gut zu funktionieren bei den ganzen fehlerhaften Artikeln die im Netz so herum schwirren).
[re:1] 0711 am 18.02. 20:59
+2 -2
@dustwalker13: Warum kann da von Zero Day keine Rede sein? Die Lücke ist veröffentlich ohne abhilfe und kann ausgenutzt werden...wie die lücke ausgenutzt werden kann ist dabei doch völlig irrelevant
[re:1] dustwalker13 am 18.02. 21:07
+2 -2
@0711: schlampigkeit meinerseits - sollt zero-day-exploit heißen, als zero-day-vulnerability qualifiziert es sich natürlich, wenn auch das in dem fall wohl ein sehr theoretisches problem sein dürfte (siehe mein post weiter unten).
[o7] dustwalker13 am 18.02. 20:29
Hab mir den Report mal angesehen. So ein Bug würde als Low bis Medium eingestuft werden in Sachen Sicherheitsrelevanz (trotzdem sollte er mittlerweile behoben sein).

Alles was man damit machen kann ist Screen-Content aus Internet Explorer und anderen Programmen, die die entsprechende Schnittstelle nutzen auszulesen und auch nur dann, wenn man bereits den User entsprechenden Code unterjubeln konnte.

(As a result, it is possible to disclose uninitialized or out-of-bounds heap bytes via pixel colors, in Internet Explorer and other GDI clients which allow the extraction of displayed image data back to the attacker.)

Der Exploit geht nicht über Programmgrenzen hinaus, ebenso wenig über Sessions.

Also ja: wenn es einer schafft, jemanden auf eine Seite zu locken, die entsprechend präpariert wurde und dann auch noch dazu bringt (ev durch vortäuschen irgendwelcher Logins) dass diese Person sensible Daten preis gibt, dann kann man diese - sofern sie am Bildschirm sichtbar sind auslesen.

Gleiches gilt, wenn jemand ein entsprechend präpariertes Programm herunter lädt und ausführt.

Gilt aber beides nur für die jeweilige Session ... also es würde mich mehr als wundern, wenn das bereits aktiv ausgenutzt wird, die möglichen Szenarien sind viel zu beschränkt, da gibt es deutlich effektivere Methoden um an Userdaten zu kommen.

Mit Edge dürfte das nicht funktionieren, meines Wissens setzt der anders auf (kann mich aber irren).

Viel Lärm um - wenn schon nicht Nichts dann zumindest - sehr wenig ...
[re:1] dustwalker13 am 18.02. 20:57
+7 -1
@dustwalker13: gerade gefunden ... laut mspoweruser ist tatsächlich wieder phypischer zugriff nötig um die schwachstelel auszunutzen, wenn das stimmt kann sie also nicht einmal remote genutzt werden.

"It affects Windows Vista Service Pack 2 all the way up to Windows 10 but fortunately requires physical access to exploit."

na ich bin sicher horden an hackern sind im augenblick in ganz europa unterwegs um mal eben an der tür unwissender windows user zu klingeln und schnell den rechner zu kompromittieren ... :P
[re:1] Selawi am 19.02. 05:48
+3 -3
@dustwalker13: Solche "konstruierten Sicherheitslücken" die in der Realität
kaum vorkommen dürften umschreibt man bei Heise immer gerne mit:

"Sicherheitsforscher haben herausgefunden...."

Als moderne Variante des bekannten Märchenanfangs von: "Es war einmal..."

Das spielt aber keine Rolle...es gibt AFAIk zwischen den Firmen klare Absprachen
wie mit Sicherheitslücken (und seien sie noch so konstruiert und theoretisch),
umzugehen ist..und es gibt eindeutige Fristsetzungen. Und MS hat sich zum
wiederholten Male nicht daran gehalten.Und es ist davon auszugehen, dass
sich MS bei *RICHTIG SCHWEREN UND GEFÄHRLICHEN" Lücken dann eben
genauso verhält....das ist der spingende Punkt.
[re:2] freach am 20.02. 10:50
+ -1
@dustwalker13: Harmlos? Wenn du nur den IE nutzt und der Angreifer deinen gesamten Webverlauf sehen kann? Sowohl Banking, Schmuddelseiten usw? Ich denke das kann sehr böse enden und man kann durch private Vorlieben sehr schnell erpressbar werden...
[re:1] dustwalker13 am 21.02. 19:46
+ -
@freach: hast du dir das genauer angesehen? um das ganze überhaupt nutzen zu können muss man physischen zugriff auf den pc haben ...

an dem punkt wo ein böser hacker physisch vor deinem rechner sitzt ist der umstand, dass er deinen screen über diese "lücke" auslesen kann dann wohl eher dein geringstes problem ...

das ganze ist sicherheitstechnisch de facto irrelevant - sollte aber natürlich dennoch gefixed werden.
[o8] Corsafahrer am 19.02. 12:22
+2 -
GDI? Und was ist mit der NOD-Sicherheitslücke? :D
[o9] Seth6699 am 19.02. 14:19
+2 -2
"Google stänkert" ... aha..
Winfuture verbreitet jetzt also auch schon Fake-News.^^
Wird ja immer besser.

Mal im Ernst: Nen bischen objektivere Berichterstattung wäre schon wünschenwert.
[10] Norbertwilde am 19.02. 21:14
+2 -1
Das sich Konkurenten einer Branche gegeneinander ihre Fehler vorwerfen, um sich selbst besser darzustellen ist nichts Neues. Das einige Nachritenblätter darüber berichten, um für sich Aufmerksamkeit zu erregen auch nicht. Traurig finde ich es nur, wenn Kunden, die diese Produkte nutzen, durch Verschweigen und weiterem Nichthandeln verarscht werden. Da wird es für Microsoft( und später dann für Google) kein gutes Image bei herauskommen. Und Möglich wird das ganze nur deshalb, weil es keine gleichwertigen Altanativen zu Microsoft gibt. Linux jedenfalls mag zwar etwas sicherer sein, dafür kommt man damit als normaler Anwender auch nicht klar und hat somit seine Chance wegen der Bequemlichkeit der Entwickler selbst vergeigt.
[11] Alci1985 am 20.02. 07:24
+3 -1
Was Updates und Sicherheitslücken angeht, da sollte Google aber mal ganz schnell die Klappe halten - in Hinblick auf deren mobiles Ökosystem... (siehe z. B. Stagefright, wo Google selbst auch mehrere Anläufe gebraucht hat und dank der selten dämlichen Update-Problematik die Google bis heute nicht in den Griff kriegt vermutlich immer noch mehrere Millionen genutzte Android-Geräte betroffen sind)
[12] marcol1979 am 20.02. 09:51
+ -
"Betroffen sind alle Windows Versionen von Vista bis zu Windows 10"

Und da sage einer XP wäre nicht sicher ... :)
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture