Η Google αποκαλύπτει ευπάθεια των Windows πριν το κλείσιμο της από την Microsoft

[aiolos.01]

Η συνήθης πρακτική είναι να ανακοινώνονται αφού έχει υπάρξει patch ή μετά από κάνα δίμηνο+, αφού πρώτα έχεις προειδοποιήσει τον "εκτεθειμένο" πως θα το κάνεις.

Στον βωμό της φαγωμάρας των βουβαλιών (Google, MS) θύματα είναι οι χρήστες.

Η δικαιολογία στην περίπτωση αυτή είναι οτι το bug είναι ήδη actively exploited και άρα δίνουν μόνο μια βδομάδα και μετά το αποκαλύπτουν για να πιέσουν να φτιαχτεί πιο γρήγορα. Δε συμφωνώ, απλά λέω την επίσημη δικαιολογία.

[anon]

Χώρια που είναι αντιδεοντολογικό αυτό που έκανε η Google.

αντιδεοντολογικό kiss my ass.
Ηδη ήταν γνωστό στους κύκλους των crackers (not hackers!)
Δηλαδή όλος ο "υπόκοσμος" της πληροφορικής τοχε τούμπανο, και αυτοί κρυφό καμάρι.
Και όλος ο υπόλοιπος κόσμος να κοιμάται, σε κάθε ανάλογη περίπτωση, τον υπνο του δικαίου.
Και να υπάρχουν συνεχώς επιθέσεις με βάση αυτές τις αδυναμίες.
Αρα
Η' θα πρέπει να βάλει όσα resources χρειάζεται, να δουλεύουν επι 24ωρου βάσεως και να διορθώσουν την όποια μαλακία εχουν αφήσει ανοιχτή εκεί στην Μικρομαλακή
Η' καλά κάνει η Google, που λέει κοιτάχτε παιδιά, τα συστήματά σας ειναι τρύπια, σε όλο τον κόσμο, και ας πάρει όποιος θέλει τις όποιες προφυλάξεις του... ( το αν τυγχάνει, το όποιες προφυλάξεις σημαίνει να τους πάρει στον δικό της browser είναι απλά τελείως μα τελείως συμπτωματικό!!! χαχαχα , σε κάθε περίπτωση, αν προσφέρεις ένα υποδέεστερο προιόν, ποιός φταίει; αυτός που γνωστοποιεί σε όλους ότι ειναι κατώτερο των απαιτήσεων και προσδοκιών ή εσύ που έφτιαξες μια πατάτα; )

Δεν έχει να κάνει ούτε εαν τα αγόρασες ούτε αν τα πήρες δωρεάν, ούτε εαν έχεις συμβόλαιο ούτε τίποτα. Δεν υπάρχει ακόμα και για κάθε αγοραστή των Windows κάποια ρήτρα NDA που να αποκλείει την διάδοση κάποιας πληροφορίας, καλής ή κακής, σχετικά με το λειτουργικό. Απορώ που το βρίσκεται αντιδεοντολογικό. Κανονικά κατά την γνώμη ούτε καν 10 μέρες δεν έπρεπε να περιμένουν, απο την πρώτη μέρα έπρεπε να γίνει γνωστό. Εξάλλου όπως είπα, αυτοί που δεν θα έπρεπε, το ξέραν ήδη απο την ημέρα ΜΗΔΕΝ. Ποιούς λοιπόν προφυλάσσει το γεγονός της μη διάδοσης μιας τέτοιας πληροφορίας;
Εαν η Μικρομαλακή ενδιαφέρεται ή όχι να διορθώσει τέτοιες ατέλειες γούστο και καπέλο της και το πότε θέλει να το κάνει αυτό, αλλά να ξέρει ο κόσμος, ο καταναλωτής, τι παίζει.

- - - Updated - - -

Μες στην καφρίλα η Google.

Εσυ κοιμήσου τον ύπνο του δικαίου μη γνωρίζοντας τι συμβαίνει. Οσοι θέλουν να κάνουν χρήση τέτοιων αδυναμιών, τα ξερουν ήδη. απο την πρώτη στιγμή μάλιστα. Πρώτα αυτοί βρίσκουν αυτές τις αδυναμίες, και μετά κάποιος απο όλους αυτούς το "σφυράει" και στην επιχείρηση που δουλεύει (πχ Google) και γίνεται γνωστό και έξω απο τον κόσμο των crackers.

Δεν είναι η Google καμμιά αγία, θα μπορούσα να πώ για άλλες περιπτώσεις τα χίλια μύρια όσα αλλά στην συγκεκριμένη περίπτωση έπραξε ορθά.

[ludist]

Flash, Java πρέπει να εξαφανιστούν. Και JS γιατί μετέτρεψαν τους browsers σε υπολογιστές μέσα σε υπολογιστή.

τράβα στο Linux που τα διορθώνουν μετά από 9 χρονια.

Πως κατάφερες να διαστρέψεις / ξεχάσεις σε μία πρόταση τόσα γεγονότα;

1. 13 ανακοινώθηκε, 13 είχε ΗΔΗ διορθωθεί. Τί συγκρίνεις;
2. Εδώ το πρόβλημα είναι άλυτο ενώ ενημερώθηκαν για πάνω από 7 ημέρες (άγνωστο πόσο υπήρχε).
3. Αυτό που γράφεις ισχύει για το abandonware android / routers / τηλεοράσεις κ.ο.κ.
4. Το dirtyc0w χρειάζεται local user, όχι να δεις ένα flashάκι στο διαδίκτυο!

- - - Updated - - -

Θεωρείς 7 ημέρες αρκετές να κλείσει μια ευπάθεια τρίτου λογισμικού σε 5 εκδόσεις Windows ?

Χώρια που είναι αντιδεοντολογικό αυτό που έκανε η Google.

Σιγά τα αυγά. Στο Linux έχουν 8+, μέτρα τα longterm. Βάλε redhat, ubuntu και φτάνεις σε τρελούς αριθμούς.

Πολύ καλά κάνει και τους τρέχει η Google. Όπως στο android μόνο τα Nexus / Pixel παίρνουν updates έτσι πρέπει να κάνουν και η Microsoft, αλλά και όλοι οι κατασκευαστές. Έως πότε θα περιμένεις για την ασφάλεια;
"After 7 days, per our published policy for actively exploited critical vulnerabilities,"

Στο android κατάντησαν να αγοράζουν Κινέζικα που δεν αναβαθμίζονται ούτε για πλάκα.

[tzelen]

Επιτρέψτε μου μια ταπεινή ερώτηση: μας ενοχλεί που ανακοινώθηκε/ο τρόπος ανακοίνωσης της ευπάθειας, περισσότερο από την ύπαρξη αυτής;

[nnn]

Επιτρέψτε μου μια ταπεινή ερώτηση: μας ενοχλεί που ανακοινώθηκε/ο τρόπος ανακοίνωσης της ευπάθειας, περισσότερο από την ύπαρξη αυτής;

Ευπάθειες πάντα θα υπάρχουν. Η ανακοίνωση της public πριν κλειστεί είναι foul.

[tzelen]

Ειλικρινά, δεν το κααλαβαίνω αυτό. Προτιμούμε να μας πουν "ξέρετε, ήσασταν τρύπιοι σαν ελβετικό τυρί, αλλά μή μας αγχώνεστε, το φτιάξαμε", από το να μας πουν "αυτό είναι το exploit και κοιτάξτε να αποφεύγετε α, β και γ πράγματα";

[charly130.mk2]

Ειλικρινά, δεν το κααλαβαίνω αυτό. Προτιμούμε να μας πουν "ξέρετε, ήσασταν τρύπιοι σαν ελβετικό τυρί, αλλά μή μας αγχώνεστε, το φτιάξαμε", από το να μας πουν "αυτό είναι το exploit και κοιτάξτε να αποφεύγετε α, β και γ πράγματα";

Θα συμφωνήσω με τον tzelen. Άλλο πράγμα να υπάρχει μια τρύπα που δεν είναι actively exploited, και επομένως ΘΑ ΗΤΑΝ φάουλ να την αποκαλύψει τόσο σύντομα, και άλλο να είναι ΗΔΗ actively exploited, και επομένως ΠΡΕΠΕΙ να το μάθει άμεσα ο κόσμος μπας και γλυτώσει τις κακοτοπιές...

[MitsakosGR]

Ειλικρινά, δεν το κααλαβαίνω αυτό. Προτιμούμε να μας πουν "ξέρετε, ήσασταν τρύπιοι σαν ελβετικό τυρί, αλλά μή μας αγχώνεστε, το φτιάξαμε", από το να μας πουν "αυτό είναι το exploit και κοιτάξτε να αποφεύγετε α, β και γ πράγματα";

Προτιμάς να βγάλουν αναοκοίνωση:
- Η πόρτα στο σπίτι σου παραβιάζεται για πλάκα με αυτόν τον τρόπο οπότε μην την ανοίγεις έτσι ή αλλιώς
ή
- Η πόρτα στο σπίτι σου μπορούσε να παραβιαστεί με αυτόν τον τρόπο αλλά πλέον το φτιάξαμε
;;;

Με άλλα λόγια η δημοσίευση πριν την επίλυση κάνει και αυτούς που δεν το ήξεραν να το μάθουν και να το εκμεταλλευτούν όσο έχουν καιρό!

[charly130.mk2]

Προτιμάς να βγάλουν αναοκοίνωση:
- Η πόρτα στο σπίτι σου παραβιάζεται για πλάκα με αυτόν τον τρόπο οπότε μην την ανοίγεις έτσι ή αλλιώς
ή
- Η πόρτα στο σπίτι σου μπορούσε να παραβιαστεί με αυτόν τον τρόπο αλλά πλέον το φτιάξαμε
;;;

Με άλλα λόγια η δημοσίευση πριν την επίλυση κάνει και αυτούς που δεν το ήξεραν να το μάθουν και να το εκμεταλλευτούν όσο έχουν καιρό!

Το πρόβλημα στην συγκεκριμένη περίπτωση είναι ότι κάποιες πόρτες είχαν ήδη παραβιαστεί... Επομένως
- Η πόρτα στο σπίτι σου παραβιάζεται με αυτόν τον τρόπο... και άρα λάβε τα μέτρα σου (πχ ένα σκύλο... )

[Eruyome(MMXGN)]

Προτιμάς να βγάλουν αναοκοίνωση:
- Η πόρτα στο σπίτι σου παραβιάζεται για πλάκα με αυτόν τον τρόπο οπότε μην την ανοίγεις έτσι ή αλλιώς
ή
- Η πόρτα στο σπίτι σου μπορούσε να παραβιαστεί με αυτόν τον τρόπο αλλά πλέον το φτιάξαμε
;;;

Με άλλα λόγια η δημοσίευση πριν την επίλυση κάνει και αυτούς που δεν το ήξεραν να το μάθουν και να το εκμεταλλευτούν όσο έχουν καιρό!

H αναλογία είναι άστοχη. Πιο σωστό (αν και όχι τελείως) θα ήταν:

Ξέρετε, αυτός ο τύπος κλειδαριάς παραβιάζεται εύκολα απο κλέφτες γιατί έχει αυτήν την ευπάθεια την οποία ήδη χρησιμοποιούνε κλέφτες. Κάποια στιγμή θα το διορθώσει η εταιρεία αλλα μέχρι τότε, διπλοκλειδώνετε, χρησιμοποιέιτε και την δεύτερη κλειδαριά της πόρτας, κλπ.

Αντιδεολογική θα ήταν η μη ανακοίνωση της ευπάθειας. (και συμφωνώ αυτά τα πράγματα θα πρεπε να ανακοινώνονται άμεσα). Να ξέρει ο κόσμος να μπλοκάρει το flash τουλάχιστον όσο αυτή διαρκεί. Το οτι θα την μάθει περισσότερος κόσμος την ευπάθεια δεν έχει να λέει πολλά, οι "επικίνδυνοι" ήδη την ξέρανε.

[mobinmob]

Εαν η Μικρομαλακή ενδιαφέρεται ή όχι να διορθώσει τέτοιες ατέλειες γούστο και καπέλο της και το πότε θέλει να το κάνει αυτό, αλλά να ξέρει ο κόσμος, ο καταναλωτής, τι παίζει.

Μην ενοχλείτε την εταιρεία, περιμένει την patch tuesday...

[nikdiam]

Αν η HTML5 δεν πήγαινε τα ζώα μου αργά σε παλιά μηχανήματα, θα ήταν ευκολότερο. Έχω δει επανειλημμένα μηχανήματα με αργούς επεξεργαστές να λαγκάρουν σε προβολές βίντεο μέσω html5, ενώ μέσω Adobe εκμεταλλεύονται Hardware decoding του πυρήνα γραφικών και προβάλλονται απρόσκοπτα :-(

Κι εγώ θέλω θεωρητικά να ξεφορτωθούμε τον διάτρητο κώδικα του adobe flash, αλλά όταν βλέπω απλά βιντεάκια html5 να φέρνουν cpu utilization 100% και χαμένα frames στον φορητό μου, ενώ με προβολή μέσω adobe flash αναλαμβάνει η Integrated κάρτα γραφικών κι έχω... 10-20% cpu utilization (χωρίς σπασίματα/χαμένα frames)... καπου τσινάω.

Κάτι έχεις μπερδέψει.
Η HTML5 δεν έχει κάποια σχέση με την επιλογή του codec, δηλαδή του video format, της σελίδας που ενσωματώνει video.

Εσύ μάλλον θες να πεις ότι ας πούμε τα video του YouTube όταν μπαίνεις με Chrome σέρνονται και χάνεις frames, ενώ αν μπεις σε σελίδες με flash δεν χάνεις καρέ.

Ο λόγος είναι το codec.
Ο Chrome έχει ως προεπιλογή στο Youtube - και πιθανόν και σε άλλα sites - το VP9 codec το οποίο είναι πολύ πιο απαιτητικό από το codec H.264 που έχει συνήθως το flash και σε αντίθεση με το H.264 που το επιταχύνουν όλες οι κάρτες γραφικών (και τα integrated chips), το VP9 το επιταχύνουν πλήρως στο hardware μόνο συγκεριμένα μοντέλα της Nvidia (950/960 και όλες οι Pascal 10xx) και καμία άλλη κάρτα προς το παρόν από AMD, ενώ από Intel μόνο τα τελευταία chip Kabylake που έχουν βγει μόνο για laptop προς το παρόν - όχι για desktop.

To hybrid decoding του VP9 θα το ενεργοποιήσει κάποια στιγμή στα Polaris η AMD μέσω καινούργιου driver, ενώ hybrid VP9 decoding υποστηρίζουν ήδη οι Broadwell/ Skylake από Intel.

Για παλιές CPU το VP9 πέφτει λίγο βαρύ.

[anon]

Το πρόβλημα στην συγκεκριμένη περίπτωση είναι ότι κάποιες πόρτες είχαν ήδη παραβιαστεί... Επομένως
- Η πόρτα στο σπίτι σου παραβιάζεται με αυτόν τον τρόπο... και άρα λάβε τα μέτρα σου (πχ ένα σκύλο... )

Aκόμα χειρότερα.
Η πόρτα σου έχει κλειδαριά, που είναι ευκολα παραβιάσιμη, και βασικά ξέρουμε με 100% ακρίβεια ότι ΟΛΟΙ οι κλέφτες έχουν ήδη αντικλείδια.
Θες να μην ξέρεις τίποτα για να κοιμάσαι "ήσυχος" τα βράδια, τον ύπνο του δικαίου; Η' να μάθεις ότι ΟΛΟΙ οι κλέφτες ήδη έχουν αντικλείδια που παίζουν και για την πόρτα σου, άρα λάβε τα μέτρα σου; Ε;

[charly130.mk2]

Aκόμα χειρότερα.
Η πόρτα σου έχει κλειδαριά, που είναι ευκολα παραβιάσιμη, και βασικά ξέρουμε με 100% ακρίβεια ότι ΟΛΟΙ οι κλέφτες έχουν ήδη αντικλείδια.
Θες να μην ξέρεις τίποτα για να κοιμάσαι "ήσυχος" τα βράδια, τον ύπνο του δικαίου; Η' να μάθεις ότι ΟΛΟΙ οι κλέφτες ήδη έχουν αντικλείδια που παίζουν και για την πόρτα σου, άρα λάβε τα μέτρα σου; Ε;

Έτσι ακριβώς!

[turboirc]

Η δικη μου πορτα δεν παραβιαζεται διοτι την ανοιγω σπρωχνοντας. Δεν εχει κλειδι.
Σε ποια κατηγορια εμπιπτω;