Android 10: Google löst großen Rückstau bei Sicherheitslücken auf

oder

Zugangsdaten vergessen?

Jetzt kostenlos Registrieren!
[o1] DRMfan^^ am 26.08. 09:44
+1 -3
Das heißt, sobald der Code publik wird können Black Hats fleißig suchen und Exploits bauen. Media Framework ist bei Android extrem wichtig, da die zentrale Komponente von allen Playern (soweit ich weiß) verwendet wird und nicht nur vom OS-eigenen.
[o2] Knarzi81 am 26.08. 10:04
Und genau das ist das Schizophrene an der Sache. Anderen Softwareherstellern setzt Google mit ihrem Project Zero gern die Pistole auf die Brust und drückt dann ab, wenn nicht innerhalb von 90 Tagen eine Lösung auf den Tisch ist, aber bei Android ist alles ganz anders. Da werden weder die Hersteller gezwungen Updates zu liefern, noch gibt man sich scheinbar allzu große Mühe was die Sicherheit von Android betrifft. Ich meine, das Mediaframework ist jetzt seit der ersten aufgetauchten Lücke ein Dauerpatient und trotzdem bekommen sie das Ding einfach nicht sauber. Und wenn man dann ließt, dass da noch eine dreistellige Anzahl an Issues in Android offen ist, muss man sich ernsthaft fragen, warum sie sich nicht lieber erstmal um ihren eigenen Scheiß kümmern, statt anderen den Umgang mit ihren Softwareproblemen erklären zu wollen. Google ist einfach nur ein räudiger Drecksladen, der andere gerne mit Dreck bewirft, aber nicht mal in der Lage ist vor der eigenen Haustür zu kehren. Bis Android 10 dann mal als Update verteilt wird, bleiben die 193 Lücken in den Vorversionen nämlich einfach offen. So was müsste sich mal MS erlauben. Oh, was gäbe das für einen Shitstorm. Bei Google? Null, nada, niente... Sieht man ja auch hier. In anderthalb Stunden gerade mal 2 Beiträge. Bei anderen Firmen würden die Kommentare schon wieder überlaufen.
[re:1] Memfis am 26.08. 10:38
+1 -5
@Knarzi81: Es läge an der Konkurrenz sich zu revanchieren.
[re:1] Knarzi81 am 26.08. 11:39
+3 -1
@Memfis: Du meinst Kindergartenspielchen zu betreiben?
[re:2] Tical2k am 26.08. 10:42
+5 -3
@Knarzi81: Ähm ja..
"August-Patchday: Microsoft schließt 93 Sicherheitslücken"
"Juli-Patchday: Microsoft schließt 77 Sicherheitslücken"

Google wird ebenso "die Pistole auf die Brust gesetzt" bei entsprechend relevanten Punkten.
Wenn man daran denkt, wie häufig "Issues" durch Updates in irgendeinem System oder einer Software behoben werden (dabei unerheblich ob eines der Betriebssysteme von Microsoft, Apple, Google oder Linux) oder eben darauf laufender Software.
Sollten die Punkte tatsächlich "moderat" sein wie eingestuft sehe ich da aktuell auch nichts Verwerfliches dran und so hantieren ebenfalls die ganzen Software Hersteller - einfache Kosten-Nutzen-Rechnung.
Zum Beispiel behebt auch Microsoft ein paar solcher Themen in Windows 10 (am besten noch in einer spezifischen Version wie 1903), obwohl die Problematik schon ein paar Windows Versionen existiert und es sich einfach "nicht lohnt" das für alle rauszubringen.

Es wird immer und überall Sicherheitslücken geben - mindestens solang Menschen ihre Finger im Spiel haben, alles andere ist utopisch.
[re:1] Knarzi81 am 26.08. 11:48
+3 -3
@Tical2k: Ich empfehle dir meinen Post mal genauer zu lesen! Es geht nicht darum, dass Lücken geschlossen werden, sondern dass hier Lücken erst mit der nächsten Version geschlossen werden, die die meisten Anwender aufgrund der Updatepolitik der Hersteller überhaupt nicht sehen werden und somit auf Geräten die noch Jahre genutzt werden können einfach offen bleiben.

Und echt Toll, dass du hier die Anzahl von Microsoftlücken auflistest, dabei aber mal völlig am Thema vorbei argumentierst. Als erster Punkt wäre genannt, dass sich die Lücken auf alle Microsoftprodukte verteilen und nicht nur auf Windows. Zweitens wurden die Lücken nämlich in allen unterstützten Versionen beseitigt und nicht erst mit der nächsten Ausgabe 20H1. Wenn in Windows 10 1904 ein Fehler ist, der schon in den Vorversionen oder auch in Windows 7 ist, dann wird der Fehler auch in den Vorversionen geschlossen und nicht erst mit der neuen Version 20H1.
[re:1] Tical2k am 26.08. 12:19
+3 -2
@Knarzi81: Ich habe deinen Beitrag aufmerksam gelesen und auch entsprechend verstanden, weshalb ich einige Themen bereits aufgriff mit dem Versuch den Text nicht zu sehr aufzublähen (wobei er dennoch lang genug war).

Aber bitte nochmals etwas in längerer Form:

Wie schon mitgeteilt, gibt es genügend Sicherheitslücken, die je nach Schweregrad nur in bestimmten Versionen behoben werden. Microsoft ist nur ein Beispiel eines Herstellers (die oben genannten waren sogar nur die als kritisch und wichtig eingestuften Lücken ...), welcher das in der Vergangenheit genauso tat und auch weiterhin machen wird.
Dasselbe ist auch mit dem Firefox mit seinem "Overhaul" passiert unter Mozilla (mal davon abgesehen, dass da weiterhin genügend Sicherheitslücken existieren).
Dasselbe gab es auch bei macOS mit Leopard damals, usw. usf.

Microsoft ist wenigstens häufig "so nett" kritische Sicherheitslücken auch für eigtl. nicht mehr unterstützte Versionen zu beheben, sofern das mit überschaubarem Aufwand machbar ist (wie z. B. mit CVE-2019-0708).
Wer allerdings viele Feature-Updates bei Win10 nicht mitmacht, ist genauso im offiziellen Supportende und damit werden nicht alle Sicherheitslücken in allen Win10 Versionen behoben, daher extra oben das als Beispiel mit aufgenommen gehabt.
Wenn wir den August-Patchday nehmen um es zu veranschaulichen: "Komplette" Unterstützung und zur Verfügungsstellung aller Updates zu Sicherheitslücken fanden für 1803, 1809 und 1903 statt.
1507, 1511, 1607, 1703 und 1709 bekamen hingegen nur einen Bruchteil, außer sie waren im erweiterten Support bzw. es handelt sich um die Enterprise/Education Version - natürlich wieder abhängig von der Einstufung der Sicherheitslücken.

Wenn man Recherche betreibt, wird man sicher herausfinden, dass selbst Sicherheitslücken mit der ersten Win10 Version behoben wurden, die bereits bei Win8.1 existierten und dort aufgrund der Einstufung eben nicht geschlossen wurden.
[re:1] der_ingo am 26.08. 22:03
+1 -2
@Tical2k: klingt toll, ist aber Unsinn mit dem "Bruchteil der Sicherheitslücken". Es gibt nicht verschiedene Updates für beispielsweise 1607. Es gibt genau ein kumulatives Update-Paket für 32-bit und ein Paket für 64-bit - und das für jede Build inkl. des Servers 2016.
Wie Microsoft es schaffen soll - und warum sie es überhaupt versuchen sollten - mit einem einzelnen Update-Paket verschiedene Editionen unterschiedlich gut zu patchen, das müsstest du mal erklären.
[re:2] der_ingo am 26.08. 13:36
+ -2
@Tical2k: das betrifft alle möglichen Produkte, nicht nur eines, wie bei Android!
[re:1] Tical2k am 26.08. 13:57
+4 -2
@der_ingo: Und weiter? Auch Google liefert genügend Fixes für Sicherheitslücken ihrer anderen Software. Ebenso wie Microsoft diverse Sicherheitslücken "liegen lässt" und zu späterem Zeitpunkt behebt. Wie gesagt hängt alles von verschiedenen Faktoren ab und die oben betroffenen Sicherheitslücken waren alle als kritisch und schwerwiegend eingestuft, da waren sicher noch ein paar mehr dabei.
[re:1] der_ingo am 26.08. 22:07
+3 -
@Tical2k: was hat das damit zu tun, dass Google offenbar 193 Sicherheitslücken erst mit einer zukünftigen Version fixen will, die ein Großteil der aktuell aktiven Nutzer niemals bekommen wird?

Es ging beim Kommentar von Knarzi darum, dass man von Seiten Googles Fehler in Produkten anderer Hersteller gnadenlos nach 90 Tagen veröffentlicht, sich aber selber deutlich mehr Zeit nimmt, um Lücken in eigener Software zu schließen und dies dann auch noch auf eine komplett neue Version aufschiebt.
[re:2] Tical2k am 28.08. 08:02
+1 -2
@der_ingo: Offenbar ist mein Text damit für dich trotz der Länge und Veranschaulichungsbeispielen nicht deutlich genug.

Es gibt daher im Grunde zwei Kernaussagen:
1. Auch Sicherheitslücken bei Google, die kritisch sind, werden von diversen Personen/Firmen veröffentlicht - ist also nicht nur "Project Zero" von Google für andere Hersteller.
2. Ebenfalls stellen andere Hersteller ebenfalls nur bedingt "Behebungen" für Sicherheitslücken in ihrer Software in verschiedenen Versionen zur Verfügung, da dies eben unter anderem von der Einstufung, dem Aufwand, "Wartungszeitraum" und den daraus resultierenden Kosten abhängig ist.
Dabei ist es völlig egal, ob da Google, Apple, Microsoft, Oracle, SAP, Intel, Nvidia, AMD, Logitech oder sonst ein Name steht. Einige Fehler/Lücken werden je nach Einstufung für bis zu x Versionen zurück behoben, andere werden aufgrund ihrer niedrigen Priorität (oder weil es evtl. auch nicht anders geht) erst mit einer zukünftigen behoben.

Wenn das immer noch nicht verständlich ist, weiß ich auch nicht.
[re:3] der_ingo am 28.08. 10:03
+ -1
@Tical2k: leider verstehst du es weiterhin nicht. Es geht um Google, nicht um andere Firmen. Whataboutism hilft da nicht weiter.

Es geht um Google, die bei anderen Firmen strenge Maßstäbe anlegen, die selben Maßstäbe aber nicht für sich selber gelten lassen.

Offenbar willst du das nicht verstehen.
[re:4] Tical2k am 28.08. 10:40
+ -
@der_ingo: Da fällt mir langsam nichts mehr ein, um es dir noch verständlicher zu machen und ich bekomm eher Kopfschmerzen von deinem Unverständnis.

Die 193 Sicherheitslücken, die mit Android 10 geschlossen werden sollen, sind laut Einstufung "moderat" und damit UNKRITISCH.
Google schließt regulär KRITISCHE Sicherheitslücken ebenfalls für ältere Versionen (wie z. B. für CVE-2019-2044 - https://source.android.com/security/bulletin/2019-05-01).
Das "Project Zero" Team von Google veröffentlicht KRITISCHE Sicherheitslücken anderer Hersteller entweder nach bereitgestelltem Patch oder nach Ablauf von 90 Tagen (damit durch die Bekanntheit Druck entsteht und etwas geschieht).
Auch das tun andere Hersteller (auch für Google Software).
Die Maßstäbe und wer was wann wie tut ist somit identisch.
[re:3] DRMfan^^ am 26.08. 11:45
+2 -2
@Knarzi81: Das Stagefright ist einfach ein Desgin-fail, weil es mit unnötig hohen Rechten läuft. Das macht Lücken darin auch gefährlich.
[o3] bronko2000 am 26.08. 16:25
+3 -1
Mit Freude schauen mein Pixel-Gerät und ich auf den 3. September :-)
Desktop-Version anzeigen
Hoch © 2000 - 2020 WinFuture Impressum Datenschutz