Google schließt eigene Sicherheitslücke nach Kritik an Microsoft und Apple nicht

[homann5]

<p><img src="/images/stories/logos-2015/google_2013.jpg" width="100" height="100" alt="google 2013" style="margin: 10px; float: left;" />In den vergangenen Wochen betätigte sich <a href="http://www.google.de" target="_blank">Google</a> gleich mehrfach als Mahner. Zunächst veröffentlichte man Details zu einem Sicherheitsproblem in Windows 8.1, nur wenige Tage später lenkte man das Interesse auf Apples OS X 10.9.5. In beiden Fällen hatte Google die Mitbewerber frühzeitig über die gefundenen Lücken informiert, sich aber dazu entschlossen, 90 Tage später damit an die Öffentlichkeit zu gehen.</p>
<p>Vor allem von Microsoft hagelte es dafür Kritik, denn zum Zeitpunkt der Bloßstellung durch Google war ein entsprechender Bugfix bereits fertiggestellt und sollte nur einen Tag später...<br /><br /><a href="/index.php/news/software/betriebssysteme/34025-google-schliesst-eigene-sicherheitsluecke-nach-kritik-an-microsoft-und-apple-nicht.html" style="font-weight:bold;">... weiterlesen</a></p>

 

[UsAs]

Oftmals falscher Stolz anderen Branchengrößen nicht in ihren Hinweisen nachzukommen.

 

[Ganxxta]

Google hat das Problem doch gefixt (nennt sich Android 4.4).

Alle aktuellen Google (!) Geräte (Nexus) haben den "fix", wenn die anderen Hersteller zu faul sind ihre Geräte die noch auf 4.3 sind zu aktualisieren, dann wird sich auch mit einem patch in AOSP für Android 4.3 nix mehr ändern.
Denn die Hersteller werden sicher kein weiteres Update für die alten Geräte die auf 4.3 vergessen wurden nachschieben...

 

[rehacomp]

Google hat das Problem doch gefixt (nennt sich Android 4.4).

Alle aktuellen Google (!) Geräte (Nexus) haben den "fix", wenn die anderen Hersteller zu faul sind ihre Geräte die noch auf 4.3 sind zu aktualisieren, dann wird sich auch mit einem patch in AOSP für Android 4.3 nix mehr ändern.
Denn die Hersteller werden sicher kein weiteres Update für die alten Geräte die auf 4.3 vergessen wurden nachschieben...

Es betrifft aber nicht nur 4.3 Versionen, sonder auch alle älteren darunter, die mit diesem WebView verwenden.

Wenn es also nach Google geht, sollen wir alle 18 Monate ein neues Smartphone kaufen, weil es für die alten keine Updates mehr gibt? Super.
Wenn ich etwas anbiete was sicherheitslücken hat, dann muss ich diese auch beseitigen und nicht andere auffordern es nicht zu verwenden und zu umschiffen

Demnächst kommt der Autohänder zu uns und sagt:
Oh, Sie haben ein Loch im Dach? Dann setzten Sie sich doch wo anders hin! Flicken tu´n wir das nicht, zu viel aufwand.

 

[iceman84]

Google hat das Problem doch gefixt (nennt sich Android 4.4).

Alle aktuellen Google (!) Geräte (Nexus) haben den "fix", wenn die anderen Hersteller zu faul sind ihre Geräte die noch auf 4.3 sind zu aktualisieren, dann wird sich auch mit einem patch in AOSP für Android 4.3 nix mehr ändern.
Denn die Hersteller werden sicher kein weiteres Update für die alten Geräte die auf 4.3 vergessen wurden nachschieben...

sprich wenn es bei windows 7 ne lücke gibt muss man auf windows 8 upgraden ? :P

 

[SteveB]

Es betrifft aber nicht nur 4.3 Versionen, sonder auch alle älteren darunter, die mit diesem WebView verwenden.

Wenn es also nach Google geht, sollen wir alle 18 Monate ein neues Smartphone kaufen, weil es für die alten keine Updates mehr gibt? Super.
Wenn ich etwas anbiete was sicherheitslücken hat, dann muss ich diese auch beseitigen und nicht andere auffordern es nicht zu verwenden und zu umschiffen

Fasse es nicht persönlich auf - objektiv gefasst bietet google einen fix geliefert. Vergleiche es mit den Service Packs die Microsoft ebreitstellt. Im Smartphonebusiness ist allerdings das Problem, dass viele Hersteller nicht den Aufwand und die Mühe betreiben ihre die neue Software (Android Update) and ihre eigenen Modifikationen anzupassen, so dass die Nutzer bzw. Kunden kein modifiziertes Android 4.X auf 4.4 bekommen...

Allerdings hast du in dem Punkt recht, dass es etwas schade ist, dass "wichtige" Sicherheitslücken nicht in den alten Versionen geschlossen werden, zumal ältere Hardware oftmals Ressourcenbedingt nicht updatefähig ist.
Wenn es einen sehr kritischen Bug in Win 98 gibt wird der heutzutage auch noch gefixt, allerdings eben auch nicht bis in alle Ewigkeit ;-)

Das Smartphonebusiness ist einfach super kurzlebig, da sind 18 Monate ( 1,5 Jahre) eben viel Zeit, auch wenn natürlich für viele längere direkte fixes als Alternative zu Versionsupgrades wünschenswert wären ;-)

 

[Bzzz]

Wenn es also nach Google geht, sollen wir alle 18 Monate ein neues Smartphone kaufen, weil es für die alten keine Updates mehr gibt? Super.

Da würd ich aber nicht an Google meckern, sondern am jeweiligen Handyhersteller. Wer sich sowas bieten lässt, fördert die Verhaltensweise nur. Geht dem Support auf den Sack, bis sich was ändert - und wenn nicht, kauft woanders. Hardwarefeatures sind nicht alles. Preis auch nicht.

Aber ich hab da ja gut reden, mir fehlt zwar die Upgrademöglichkeit auf ein aktuelles Handy (da keins aufm Markt), aber dafür wird mein Nokia N900 (Release Ende 2009!) bis heute von der Community mit Updates und auch Neuerungen versorgt. Wenigen, aber es ist noch nicht ganz tot. Wahrscheinlich sähs noch besser aus, wenn ich auf Meego umflashen, oder mit Nitdroid auf den Android-Zug aufspringen würde...

 

[Hiradur]

Wenn es also nach Google geht, sollen wir alle 18 Monate ein neues Smartphone kaufen, weil es für die alten keine Updates mehr gibt? Super.

Lediglich das Nexus One und das Galaxy Nexus von Google haben kein Update auf Android > 4.3 bekommen. Das Galaxy Nexus ist 3 Jahre alt, das Nexus One schon 5. Es ist mehr ein Problem der anderen Hersteller, keine Softwareupdates anzubieten.

 

[Famlay]

Wow, sind die bei Microsoft und Apple so schnell das sie die Lücke für die NSA so schnell geändert haben nach dem Skandal!

Respekt

 

[Clone]

Das (neue) Nexus 7 LTE hat noch immer kein Android 5. Ganz schön schwach was Google so macht. Das finde ich bei WP8 eindeutig besser.

 

[ELIT3]

Ernsthaft? Was ist das denn für eine News?

Android ist mittlerweile bei Version 5.0.2
Diese Sicherheitslücke wurde bereits mit 4.4 behoben.
Mal davon abgesehen das man diese Lücke einfach damit umgehen kann wenn man anstelle des AOSP-Browsers einfach Chrome, Firefox, Opera, Naked Browser, Lightning oder irgendweinen anderen aktuellen mobilen Browser verwendet.

Was kommt als nächstes? "Sicherheitslücken in iOS 7 und Windowsphone 7 werden nicht mehr geschlossen" ?

...Netter Click-Bait

 

[Morrich]

Mal davon abgesehen das man diese Lücke einfach damit umgehen kann wenn man anstelle des AOSP-Browsers einfach Chrome, Firefox, Opera, Naked Browser, Lightning oder irgendweinen anderen aktuellen mobilen Browser verwendet.

Artikel gelesen? Offenbar nicht:

Aus der Welt geschafft wird das Problem damit jedoch nicht. Denn Applikationen greifen auch mit vorhandenem Alternativ-Browser auf die WebView-Komponente zu, Angreifer können die Lücke dementsprechend auch weiterhin ausnutzen.

 

[ELIT3]

Artikel gelesen? Offenbar nicht:

Doch hab ich. Aber du scheinst das Problem und meinen Kommentar nicht verstanden bzw. dich nicht damit befasst zu haben. Daher versuche ich es dir mal ganz simpel zu erklären.

Die Sicherheitslücke betrifft WebView. Das Haupteinfallstor für Schadware ist damit der Browser, konkret der AOSP Browser weil dieser WebView verwendet.
Wenn man diesen nun gegen einen anderen aktuellen Browser austauscht hat man das Hauptproblem gelöst.
Andere Anwendungen greifen aber auch auf das Internet zu und wenn die Anwendung sich nicht an die aktuellen Sicherheitsstandarts von Android hält machen das die Anwendungen über WebView.
Daher sollte der AOSP Browser wei in meinem Kommentar erwähnt logischerweise komplett ausgetauscht bestenfalls gelöscht (oder wenn nicht möglich durch Veränderungen am System durch OEMs, "eingefroren" werden). Somit stellt WebView damit kein Problem mehr da.
Greift diese sich nicht an die Sicherheitsrichlinien haltende Anwendung über einen eigenen Browser der WebView verwendet (recht seltener Fall - weil zusätzliche Entwicklung) ist sogar möglich als Standart Browser in der jeweiligen Anwendgen einfach einen anderen als den integrierten oder den AOSP Browser zu verwendet und diesen auf einen aktuellen Browser umzustellen.
Ein Konretes Beispiel zum leichteren Verständnis: Die Facebook Anwendung ist ein weit verbreitetes Beispiel einer Anwenung die über einen eigenen Browser auf WebView zugreift, dort lässt sich einfach in den Einstellungen umstellen das der Content standartmäßig über einen anderen auf dem Gerät installierten Browser geöffnet werden soll, dies kann einer der bereits genannten aktuellen Browser sein. Somit greift die Facebook Anwendung nicht mehr mit eigenen unsicheren Browser auf WebView zu, folglich - Lücke umgangen.

 

[sabrehawk2]

mein nächstes device wird eh kein android sein ...totaler nillenkäse das OS.

 

[Desti]

Was für ein Lügenvergleich. Google hat die Details der eigenen Sicherheitslücke schließlich nach genau den gleichen Kriterien veröffentlicht, wie die anderen auch.

Das überalte Versionen bereits aus dem Support-Zeitraum raus sind, hat damit doch überhaupt gar nichts zu tun.

 

[rehacomp]

Doch hab ich. Aber du scheinst das Problem und meinen Kommentar nicht verstanden bzw. dich nicht damit befasst zu haben. Daher versuche ich es dir mal ganz simpel zu erklären.

Die Sicherheitslücke betrifft WebView. Das Haupteinfallstor für Schadware ist damit der Browser, konkret der AOSP Browser weil dieser WebView verwendet.
Wenn man diesen nun gegen einen anderen aktuellen Browser austauscht hat man das Hauptproblem gelöst.
Andere Anwendungen greifen aber auch auf das Internet zu und wenn die Anwendung sich nicht an die aktuellen Sicherheitsstandarts von Android hält machen das die Anwendungen über WebView.
Daher sollte der AOSP Browser wei in meinem Kommentar erwähnt logischerweise komplett ausgetauscht bestenfalls gelöscht (oder wenn nicht möglich durch Veränderungen am System durch OEMs, "eingefroren" werden). Somit stellt WebView damit kein Problem mehr da.
Greift diese sich nicht an die Sicherheitsrichlinien haltende Anwendung über einen eigenen Browser der WebView verwendet (recht seltener Fall - weil zusätzliche Entwicklung) ist sogar möglich als Standart Browser in der jeweiligen Anwendgen einfach einen anderen als den integrierten oder den AOSP Browser zu verwendet und diesen auf einen aktuellen Browser umzustellen.
Ein Konretes Beispiel zum leichteren Verständnis: Die Facebook Anwendung ist ein weit verbreitetes Beispiel einer Anwenung die über einen eigenen Browser auf WebView zugreift, dort lässt sich einfach in den Einstellungen umstellen das der Content standartmäßig über einen anderen auf dem Gerät installierten Browser geöffnet werden soll, dies kann einer der bereits genannten aktuellen Browser sein. Somit greift die Facebook Anwendung nicht mehr mit eigenen unsicheren Browser auf WebView zu, folglich - Lücke umgangen.

Kann ja alles sein, aber wieviele Handynutzer sind in der lage, das Problem zu erkennen und entsprechend die Einstellungen zu ändern? Der 0815 User eben nicht! Und davon ist auszugehen.
Sicherheitslücken sollten von jedem Unternehmen geschlossen werden.
Problem hier ist, das man bei Android immer von Version x.x spricht. Patches wie bei M$, Adobe oder Apple gibt es in diesem Sinne garnicht.
Es schreit keiner nach neuen funktionen für die alten Android versionen, aber nach Sicherheitsupdates schon.

Der User soll auf seine Sicherheit achten, die Firma lässt uns aber im Stich, zu aufwendig bla bla.

 

[ELIT3]

Man stellt es für die jeweilige Anwendung ganz einfach in deren Einstellungen als Standartbrowser ein und fertig. Schwer ist das nicht.

Natürlich gibt Patches. Beispielsweise für die aktuelle Version 5 gibt es nun 5.0.1 und 5.0.2 Das ist keine neue Version und den Patch gab es für diese Lücke quasi mit 4.4.
Wenn man noch ein Telefon mit 4.3 hat dann ist das das Problem des jeweiligen OEMs und nicht von Google, den diese bieten ja bereits eine Lösung, ja sogar bereits eine neue Version!

Indirekt werden damit sogar die OEMs dazu gedrängt ihren Kunden eine aktuelle Version für ihr Telefon zur verfügung zu stellen. Oder der Kunde lernt daraus und kauft sich beim nächsten mal ein Android Gerät welches nicht extrem angepasst ist und Updates erhält.

 

[Famlay]

Ja der Autor von diesen News ist halt auch nicht mehr der Jüngste!

Google hat es sofort bereit gestellt, wie alle anderen auch. Nur die diversen Herstellen entscheiden wie weit ZURÜCK der Patch eingearbeitet wird.

Viele Hersteller sehe halt eher die Zukunft in der Zukunft ( höher als 4.3) da eigentlich alle Smartphones die 3 Jahre jung sind ein Update von 4.4 erhalten haben.
Dazu kommt halt noch, das viele einfach keine Updates Installieren wollen, weil das System stabil läuft oder angst haben das es was verändert!

 

[Berserkus]

Das Hauptproblem ist eigendlich nicht Google selber sondern die Smartphonehersteller denen Ihre Endgeräte nach 6 Monaten schon scheissegal ist und die Sicherheit Ihrer Kunden mit Füssen treten!
Wenn die auch ihre etwas betagteren Modelle, sofern technisch möglich, auf aktuelle Androidversionen heben würden, gäbe es das Problem so gar nicht. Sicher sind uralt Smarties unter z.B. 5.0 nicht lauffähig aber die absolute Mehrheit der in den letzen 2-3 Jahren hergestellten Geräte sollten das Problemlos können.

Alternativ gibts ja auch Cyanogenmod für sehr sehr viele Geräte deren Hersteller schon den Support eingestellt haben.