» »

Google in Microsoft pri krpanju lukenj s prstom kažeta drug na drugega

Google in Microsoft pri krpanju lukenj s prstom kažeta drug na drugega

Slo-Tech - Google in Microsoft nadaljujeta obmetavanje z razkrivanjem ranljivosti in obtoževanje, kdo slabše skrbi za svoje uporabnike. Začel je Google, ki je konec decembra javno razkril podrobnosti o ranljivosti v Windows 8.1, še preden je Microsoft uspel zakrpati luknjo. Slednji mu ni ostal dolžan in je izpostavil, da ima Android 4.3 ranljivost, ki pa je Google sploh ne namerava odpraviti.

V zelo starih časi so se ranljivosti takoj po odkritju priobčile javnosti, proizvajalci programske opreme pa so hitro spisali popravke. Kasneje se je ta način umaknil tako imenovanemu odgovornemu razkritju (responsible disclosure) oziroma koordiniranemu razkritju ranljivosti (coordinated vulnerability disclosure), kot ga imenuje Microsoft. Za tem se skriva logika, da je ranljivosti neodgovorno predčasno razkrivati javnosti, ker jih lahko hekerji zlorabijo, temveč je bolje stopiti v stik s proizvajalcem in počakati, da se pripravi popravek. Toda v primerih, ko odgovora od proizvajalca ni ali pa je ta negativen, se ranljivost vseeno razkrije, saj poznavanje podrobnosti o njej olajša zaščito tudi brez uradnega popravka. Google je to mejo postavil na 90 dni, zato so 30. septembra odkrito ranljivost 30. decembra javno priobčili.

Microsoft se je na Googlovo potezo burno odzval in Google obtožil, da mu je šlo bolj za publiciteto kakor za zaščito uporabnikov. Microsoft je namreč popravek izdal v januarskem paketu popravku (Patch Tuesday), zmotilo pa jih je Googlovo trmasto vztrajanje pri razkritju, čeprav so jim v Redmondu povedali, da je popravek nared in bo kmalu izdan. V tem pogledu imajo prav, saj je 90-dnevno okno namenjeno neodzivnim proizvajalcem. Če Google se seveda brani, da je njihova politika za vse enaka in da je 90 dni več kot dovolj časa za odpravo kakršnekoli ranljivosti. Microsoft je imel popravek končan že prej, a so čakali na drugi torek v mesecu, ko izhajajo popravki za Microsoftovo programsko opremo, če ni izrednih razlogov za takojšnjo izdajo.

Zgodba je dobila zanimivo nadaljevanje, ko je Microsoft udaril po Googlu zaradi ranljivosti v Androidu 4.3. Ker je ranljivost prisotna v WebKitu, medtem ko ga Android 4.4 in 5.0 za WebView uporabljata Blink, slednja nista ranljiva. In to po Googlovem mnenju zadostuje, zato popravka ne bo. Google je jasno povedal, da za verzije pred 4.4 popravkov ne razvijajo, temveč partnerje le obvestijo o najdeni ranljivosti. Če luknjo popravi kdo drug, obliž vključijo v repozitorije, sicer pa ne.

Android 4.3 ima kar 60-odstotni delež med androidnimi pametnimi telefoni, situacija pa je bolj zapletena kakor pri Windows ali iOS. Medtem ko se Applove naprave tako ali tako posodabljajo na najnovejšo še podprto verzijo iOS in je Windows v času trajanja podpore načeloma mogoče enostavno posodabljati, je z Androidom drugače. Google popravke izda in vključi v Android Open Source Project, potem pa jih morajo proizvajalci posameznih modelov telefonov pobrati in prilagoditi za svojo kodo, ter operaterji na koncu odobriti, da jih lahko uporabniki namestijo. Za konkretno ranljivost se to ne bo moglo zgoditi, ker se Google sploh ne bo vključil.

Nadgradnja na Android 4.4 oziroma 5.0 seveda ranljivost odpravi, a nadgradnja na 5.0 za veliko večino telefonov sploh še ni pripravljena, številni pa je sploh ne bodo dobili, kakor ne bodo dobili niti 4.4. Razlogi so povsem pragmatični, saj se proizvajalcem, ki na telefone nalagajo prilagojeno (OEM) verzijo Androida, enostavno ne splača posodabljati starejših modelov. In tako uporabniki obtičijo z luknjastimi sistemi, pa si sploh ne morejo pomagati. Google pa je v tem primeru brez moči, saj nadgradnje ne more vsiliti, a to ni izgovor, da se niti ne potrudijo zakrpati Androida 4.3.

7 komentarjev

AgarthiDawn ::

Poznam eno zelo dobro šiviljo, specializirana prav za luknje...

Nummy ::

Zakaj bi krpali za nazaj, če pa vmes v enem letu naredijo 100 novih modelov in na te naložijo novo verzijo. Potem pa je na kupcu da kupi če hoče update ali pa se preprosto po domače povedano j**e s staro napravo... :)

leiito ::

Hvala bogu za Apple.

Jupito ::

Saj ni treba toliko okrog grma krožit. Jasno je, da G-man hoče, da bi uporabniki prešaltali na novejše verzije, proizvajalci telefonov pa kar na nov telefon. Problem? - 60% vas je, nabijte jih na kaktus.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

ZaphodBB ::

V obeh primerih je IMO bad guy Google.

Lepo so prevzeli štafeto glavnega kretena na ulici od Microsofta.
"Naši dedje so se borili za to, da lahko odločamo
o lastni usodi - ne o usodi drugih ljudi." -jype

Nummy ::

Jupito je izjavil:

Saj ni treba toliko okrog grma krožit. Jasno je, da G-man hoče, da bi uporabniki prešaltali na novejše verzije, proizvajalci telefonov pa kar na nov telefon. Problem? - 60% vas je, nabijte jih na kaktus.

JA smo jih, ne kupujemo več njihovih izdelkov, ampak od konkurence, ki vsaj nekaj starejših modelov podpre in jim da nadgradnje.

swar ::

No tukaj je lepo opisano zakaj raje uporabljam apple ios in ne androida :)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Novo neodgovorno razkritje ranljivosti v Apple Mac OS X (strani: 1 2 3 )

Oddelek: Novice / Varnost
10318665 (9047) zmaugy
»

Google vztraja pri 90-dnevnem roku za odpravo lukenj, Microsoft nejevoljen

Oddelek: Novice / Varnost
347667 (5300) BigWhale
»

Prvi dan Pwn2Own 2013 zlomljeni Chrome, Firefox, IE10 in Java

Oddelek: Novice / Varnost
135881 (3788) MrStein
»

Microsoft v zadnjem letu odkril sto ranljivosti v tretjih programih

Oddelek: Novice / Varnost
113129 (2087) BigWhale
»

Z ranljivostmi se živahno trguje

Oddelek: Novice / Omrežja / internet
74282 (2666) techfreak :)

Več podobnih tem