Google maakt ongepatchte lekken in OS X Yosemite openbaar

Door: Raymon Mens - 22 reacties

Techbedrijven helpen elkaar vaak bij het vinden van lekken en bugs in software. Google’s Project Zero is een verzamelplaats voor door Google ontdekte lekken. Inmiddels zijn ook een aantal kwetsbaarheden in de laatste versie van OS X Yosemite ontdekt.

De door Google ontdekte lekken worden na 90 dagen automatisch openbaar gemaakt. Hierdoor zijn nu drie beveiligingslekken in Yosemite publiek. Een van de drie is gepatcht, de andere twee kunnen nog misbruikt worden. Voor een specifiek lek heeft Google zelfs een proof of concept gemaakt.

De beveiligingsproblemen staan het op afstand kraken van een Mac niet toe, maar maken het voor geïnstalleerde apps mogelijk om uit hun sandbox te breken. In de laatste beta van OS X Yosemite zijn de problemen volgens Ars Technica opgelost. OS X 10.10.2 is echter nog niet publiek beschikbaar.

Eerder gebeurde iets vergelijkbaars bij Microsoft Windows. Het bedrijf was bijzonder┬áontstemd over het feit dat Google ongepatchte lekken in Windows twee dagen voor ‘Patch Tuesday’ naar buiten bracht.

google deadline
Google legt een deadline van 90 dagen voor ontdekte beveiligingslekken op.

Kwetsbaarheden melden is prima, want iedereen is gebaat bij veilige software. Google’s 90 dagen-eis stelt nu daarentegen talloze Mac-gebruikers bloot aan beveiligingsrisico’s. Software wordt door mensen gemaakt en bugs in besturingssystemen pletten is een complexe taak die niet altijd binnen 90 dagen klaar is. Laten we hopen dat Google dat in zijn arrogantie niet vergeet.

Reacties

22 reacties
  • Profielfoto
    epsylon

    Je zou ook kunnen zeggen dat een bedrijf als Apple best binnen 90 dagen een fix kan uitbrengen voor een lek. Ze hoeven niet direct een nieuwe versie van het OS te releasen.

  • Profielfoto
    Monsta

    Dat is ook zeker zo epsylon, maar dat is nog geen rede om *als mede OS concurrent* deze gevoeligheden express bloot te leggen.

  • Profielfoto
    Godfather

    Wel, het dwingt om sneller actie te ondernemen en dat is waar het voor ons om zou moeten draaien als eindgebruiker. Want doet Google dit niet, laat Apple dit verder etteren dan wordt de kans alleen maar groter dat iemand anders die nog kwader van wil is dan Google, de lekken misbruikt.
    Kortom, goede zet van Google.

  • Profielfoto
    Robert de Groot

    Een Apple website dat Google beticht van arrogantie.

  • Profielfoto
    poing

    goeie zaak oplossen die hap en rap;)

  • Profielfoto
    Pasav

    Mooi dat ze het melden, idd arrogant dat ze de 90 dagen eis stellen. Alsof Android zo veilig is. Ben benieuwd of ze hun eigen lijst ook zo melden.

  • Profielfoto
    jorikcaljouw

    Hoewel ik normaal gesproken erg kritisch ben op Google (ben toch wel huiverig voor hoeveel data ze inmiddels wel niet verzamelen) vind ik dit een goede zaak.

    Als ze die 90 dagen niet zouden hanteren, zouden de meeste patches veel later pas gefixt worden. Overigens kunnen ze publicatie wel uitstellen, maar dan moet de vendor daar een goede reden voor geven, kennelijk heeft Apple dat niet gedaan.

    Over Android en andere software: het is niet aan Google om hun eigen developers te stimuleren snel te patchen, omdat een probleem anders wereldkundig wordt. Dat zou dan aan de Apple, Microsoft, etc. zijn om bugs te rapporteren en te publiceren na 90 dagen. Als andere organisaties dezelfde criteria gebruiken voor het wereldkundig maken van lekken, werkt het geheel overigens alleen maar beter denk ik.

  • Profielfoto
    macpro

    Het zou Google sieren als ze die 90 dagen dead line ook op eigen producten zouden hanteren.
    Heb er verder gemengde gevoelens bij.
    Maar het is wel een goede methode om de software leveranciers aan te zetten tot het sneller oplossen van security issues.
    Het vereist alleen een cultuur omslag en daar zal nog niet iedereen klaar voor zijn.

  • Profielfoto
    fredmatrack

    Als Apple de bugs heeft opgelost in 10.10.2 beta, dan hadden ze evengoed al een losse security update kunnen uitbrengen zodat ze voldoende tijd hebben om die beta stabiel te krijgen (wat nu nog niet echt het geval is).

    Ik vind het dus maar goed dat Apple wat onder druk wordt gezet door Google, net zoals Microsoft!

  • Profielfoto
    donut

    Als google het al 90 dagen weet dan weten de mensen die het willen exploiteren ook…
    Dus prima actie van Google-
    Apple geen flutgadgets, maar solide software SVP!

  • Profielfoto
    kj.web

    Niks arrogants aan, als je na 90 dagen nog steeds een kritiek lek niet opgelost hebt, heb je die publicatie in mijn ogen verdient, zeker omdat Apple goede software ontwikkelaars in dienst heeft.

  • Profielfoto
    Shmoo

    En zo hoort het.. Respect voor Google!
    .
    Dit zijn geen kleine problemen/irritaties in software waar we het hier over hebben maar serieuze problemen die altijd voorrang zouden moeten hebben op elke andere bezigheden binnen zo’n afdeling dus 90 dagen is een goed tijdbestek om dit soort serieuze problemen te kunnen patchen. Zo niet dan moeten ze maar tijdelijke krachten inhuren, misschien wel de persoon die het probleem gevonden heeft.

  • Profielfoto
    apple-man

    IK vind dat bedrijven elkaar moeten helpen zeker als het op veiligheid aankomt. google moet nieuwe ontdekte bugs en beveiligingslekken gewoon meteen melden. Het is tevens erg dom van google om beveiligingslekken openbaar te maken. Zo ga misbruik juist in de kaart spelen als die leken niet snel gedicht kunnen worden. waneer gaan bedrijven nu eens doorkrijgen dat bedreigingen die door virusen of malware worden veroorzaakt een gezamenlijk probleem is. Als bedrijven op dit gebied meer en beter gaan samen werken zal dit ons in de toekomst een hoop ellende besparen.

  • Profielfoto
    Night

    Helemaal mee eens, maar dan w├ęl consequent. Dus alle hard/software waarop Google diensten kunnen draaien. Dus ├│├│k Android. Pas d├ín heb je respect. Nu zou het inderdaad uitgelegd kunnen worden als ‘bashen’.

  • Profielfoto
    Zakske

    Google moet nieuwe ontdekte bugs en beveiligingslekken gewoon meteen melden.

    Dus alle hard/software waarop Google diensten kunnen draaien. Dus ├│├│k Android.

    Ik krijg het gevoel dat jullie geen flauw idee hebben wat Project Zero is, want alles waar jullie nu over schreeuwen doet Google ook. Project Zero is juist gestart om lekken in alle software die de klanten van Google gebruiken te dichten. Het gaat dus niet alleen om Apple, maar ook om Microsoft, Linux, Android en Chrome OS. Onlangs hebben ze twee keer een zero-day exploit voor Windows gepubliceerd, omdat Microsoft na 90 dagen nog steeds het gat niet had gedicht. Als een bedrijf na drie maanden het probleem nog steeds niet heeft opgelost wordt de informatie vrijgegeven, zodat de gebruikers zelf maatregelen kunnen nemen. En nu is Apple aan de beurt.

  • Profielfoto
    Night

    Nee, het gaat om het publiceren ervan. Je maakt mij niet wijs dat de Android ontwikkeling en bugpatches nooit de 90-dagen grens zijn overschreden.

  • Profielfoto
    Franky Mac

    Ik vind Project Zero best wel een goed initiatief, zoeken naar veiligheidsproblemen in allerlei OS-en, daar wordt iedereen beter van.

    Wat ik alleen minder vind is die strikte 90 dagen regel die ze hanteren. In het geval van Microsoft zaten de patches in hun reguliere Patch Tuesday, die een paar dagen later zou plaatsvinden en ook bij Apple zitten de patches in de beta’s die ze nu aan het testen zijn. Het programmeren en het testen van patches nemen tijd in beslag. Je wilt niet het ene gat met het andere dichten. Ik vind het onverantwoordelijk gezien het enorme aantal gebruikers van beide platforms die nu risico lopen door het vrijgeven van de informatie. Het is zoals Apple-man al zei van belang dat bedrijven samenwerken op het gebied van veiligheid.

  • Profielfoto
    defores

    @Zakske,

    Google kan niet en heeft ook het recht niet om op deze manier fixes af te dwingen.
    Een fix maken voor kleine hobby software pakketjes mag dan wel simpel zijn maar vergeet niet dat het hier gaat om een OS wat uit miljoenen en miljoenen regels codes gaat. Daar zitten enorme constructies achter voor beheer ervan.
    Misschien dat google niks beters heeft te doen maar ze helpen er niemand mee.

  • Profielfoto
    zepkleiker

    Nee, het gaat om het publiceren ervan. Je maakt mij niet wijs dat de Android ontwikkeling en bugpatches nooit de 90-dagen grens zijn overschreden.

    Dus? Heeft Google dan gezegd dat als anderen bugs vinden in hun software, dat ze dan wel meer dan 90 dagen de tijd moeten hebben?

    Compleet irrelevant dus, zulke opmerkingen. Het punt is dat je er vanuit kunt en ook MOET gaan dat kwaadwillenden al eerder dan Google weten van zulke lekken, en die dus ook al gedurende de 90 dagen kunnen misbruiken. Als een softwarefabrikant faalt om het lek te dichten geeft Google zo systeembeheerders de gelegenheid om andere maatregelen te nemen.

  • Profielfoto
    Balsjer

    Apple moet gewoon weer back to basics ofwel kwaliteit afleveren. Leuk om OS X en iOS dichter naar elkaar te laten groeien, maar een stabiel en veilig OS is wel cruciaal. Al die franje, opsmuk en tierelantijntjes zou je als optionele package moeten kunnen aanschaffen. Waarom elk jaar een nieuw OS, de kans op fouten is vele malen groter, omdat er gewoon te weinig tijd is een fatsoenlijk systeem uit te leveren. Zoek gewoon op internet eens naar de vele klachten wat iOS 8 en Yosemite met zich mee brachten.Tuurlijk zullen daar ook klachten tussen zitten waar je over kunt discussi├źren aan wie het te wijten valt. Kijk eens naar de updates die daarop volgden nee, Apple goed bezig maar niet heus. We lopen wel af te geven op Microsoft, maar laten we dan ook eens in eigen huis kijken. Ik zal niet zeggen Google goed bezig, maar het is wel goed dat dit soort onvolkomenheden aan het licht worden gebracht. Ook Google moet zich niet vrijwaren van fouten en de oplostijden, want dat zal er ook niet om liegen en niet altijd binnen 90 dagen zijn opgelost.

  • Profielfoto
    Night

    Het gaat om het ‘gelijke monnikken, gelijke kappen’ principe Franklinvv.
    Verder hecht ik ook weinig meerwaarde aan het publiceren ervan, behalve om kwaadwillenden op het juiste pad te zetten.

  • Profielfoto
    Soulshaker

    Ze wijzen Apple met de vinger , op zich niet slecht. Maar ze mogen ook in eigen boezem kijken.

    Google: dichten van lekken in browser oude Android-versies is niet haalbaar