HWSW Informatikai Kerekasztal: Re: Százezrek adatait szivárogtatta ki a kritikus Google-hiba - HWSW Informatikai Kerekasztal

Ugrás a tartalomhoz

Mellékleteink: HUP | Gamekapocs

  • (3 Oldal)
  • +
  • 1
  • 2
  • 3
  • Nem indíthatsz témát.
  • A téma zárva.

Re: Százezrek adatait szivárogtatta ki a kritikus Google-hiba

#21 Felhasználó inaktív   auth.gabor 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.365
  • Csatlakozott: --

Elküldve: 2015. 03. 16. 10:00

@Tassadar: "Annyira nem reagált, hogy a Microsoft türelmet kért, valamint a következő patch kedden akarta a publikálni."

Ugyanarról az esetről beszélünk? Az én ismereteim szerint szeptember 30-án kaptak értesítést a hibáról, nagy csönd volt december 29-ig, akkor lejárt a 90 nap, a Project Zero publikálta a sebezhetőséget, erre a Microsoft közleményt adott ki január 2-án, hogy dolgoznak a javításon, addig is mindenki tartsa frissen a víruskergetőjét és tűzfalát.

#22 Felhasználó inaktív   Fydar 

  • Újonc
  • Pipa
  • Csoport: Alkalmi fórumtag
  • Hozzászólások: 43
  • Csatlakozott: --

Elküldve: 2015. 03. 16. 10:54

@auth.gabor: Te megfigyeled az említett cégeket, vagy honnan vagy ennyire jólinformált?

#23 Felhasználó inaktív   auth.gabor 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.365
  • Csatlakozott: --

Elküldve: 2015. 03. 16. 11:16

@Fydar: http://lmgtfy.com/?q=project+zero+elevation+of+privilege

#24 Felhasználó inaktív   UnA 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.482
  • Csatlakozott: --

Elküldve: 2015. 03. 16. 12:43

@Fydar: ...es benne hol a hirekben, akar itt is olvashattad.

#25 Felhasználó inaktív   Tassadar 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.662
  • Csatlakozott: --

Elküldve: 2015. 03. 16. 21:27

@bogdan: Nincs olyan, hogy "automatizált nyilvánosságra hozás".
Én mágussá, ezzel a köznapi értelemben véve polihisztorrá váltam.
Vannak gyümölcsbor receptek normál (bóti sör (candida albicans)) élesztővel.

#26 Felhasználó inaktív   Tassadar 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.662
  • Csatlakozott: --

Elküldve: 2015. 03. 16. 21:28

@auth.gabor: Maradjunk annyiban, hogy egyikünk sem kernelfejlesztő egy milliárdok által használt rendszeren.
Én mágussá, ezzel a köznapi értelemben véve polihisztorrá váltam.
Vannak gyümölcsbor receptek normál (bóti sör (candida albicans)) élesztővel.

#27 Felhasználó inaktív   Tassadar 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.662
  • Csatlakozott: --

Elküldve: 2015. 03. 16. 21:48

@auth.gabor: Én a MSRC-20674-ről beszélek.
Ezt október 13.-n reportálták, november 11.-n jelezte a Microsoft, hogy ezt a hibát nem tudja 90 napon belül javítani, december 11.-n jelezte, hogy a januári patch kedden publikálja a foltot, 11.-n a google nyilvánosságra hozta, majd a 13.-i patch kedden publikálva lett.
Szép történet.
Én mágussá, ezzel a köznapi értelemben véve polihisztorrá váltam.
Vannak gyümölcsbor receptek normál (bóti sör (candida albicans)) élesztővel.

#28 Felhasználó inaktív   bogdan 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 18.631
  • Csatlakozott: --

Elküldve: 2015. 03. 16. 22:15

Üzenet megtekintéseIdézet: Tassadar - Dátum: 2015. 03. 16. 21:27

@bogdan: Nincs olyan, hogy "automatizált nyilvánosságra hozás".

errol beszelunk ugye..?
https://code.google....s/detail?id=118

es arrol, hogy allitasod szerint ez egy "nyilatkozat", amit a Google adott ki, es "elfelejtette" megemliteni benne, hogy a MS jelezte, hogy kozeleg a javitas. vagy te egy masik (valodi..) kozlemenyrol beszeltel? megtenned, hogy linkelned?

errol beszelunk, ugye? errol teszed ezeket az allitasokat, amiket tettel!?

Szerkesztette: bogdan 2015. 03. 16. 22:18 -kor

a forum ma:
"Ez van bazdmeg, ha nem tetszik, el lehet menni."

#29 Felhasználó inaktív   auth.gabor 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.365
  • Csatlakozott: --

Elküldve: 2015. 03. 16. 22:41

@Tassadar: Ez se volt egy lehetetlen küldetés, ha egyszer sikerült 90 napon belül javítani...

#30 Felhasználó inaktív   Tassadar 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.662
  • Csatlakozott: --

Elküldve: 2015. 03. 17. 07:38

@bogdan: Lásd egy hozzászólással feljebb, megtalálod az ID-t is.
Én mágussá, ezzel a köznapi értelemben véve polihisztorrá váltam.
Vannak gyümölcsbor receptek normál (bóti sör (candida albicans)) élesztővel.

#31 Felhasználó inaktív   Tassadar 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.662
  • Csatlakozott: --

Elküldve: 2015. 03. 17. 07:39

@auth.gabor: Nem értek a kernelfejlesztéshez, nem tudom megítélni, hogy van-e különbség bonyolultságban a javítások között. De arra tippelek, hogy van.
Én mágussá, ezzel a köznapi értelemben véve polihisztorrá váltam.
Vannak gyümölcsbor receptek normál (bóti sör (candida albicans)) élesztővel.

#32 Felhasználó inaktív   auth.gabor 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.365
  • Csatlakozott: --

Elküldve: 2015. 03. 17. 08:09

@Tassadar: "Nem értek a kernelfejlesztéshez, nem tudom megítélni, hogy van-e különbség bonyolultságban a javítások között. De arra tippelek, hogy van."

Nyilván van, de mivel 92 és 95 nap alatt kiment a frissítés, nem lehet azt mondani, hogy lehetetlen küldetés a 90 napos határidő... a technikai problémáknál sokkal-sokkal-sokkal valószínűbb, hogy szervezetileg eltökölték az időt és ment az issue ping-pong hetekig, amíg valaki végre mert dönteni arról, hogy javítani kell a határidőre vagy inkább az időt húzni.

#33 Felhasználó inaktív   auth.gabor 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.365
  • Csatlakozott: --

Elküldve: 2015. 03. 17. 08:13

@Tassadar: Egyébként mi a forgatókönyv arra az esetre, ha nem a Projekt Zero találja meg ezt a sebezhetőséget, hanem valami kevésbé korrekt csapat és kiadják vagy eladják 0day sebezhetőségként?

Akkor is menne a picsogás meg a "még egy kis időt sajtóközlemények" és 92 illetve 95 napig ott állna az összes Windows letolt gatyával lehajolva a szappanért?

#34 Felhasználó inaktív   Tassadar 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.662
  • Csatlakozott: --

Elküldve: 2015. 03. 17. 08:30

@auth.gabor: Erre a Microsoft management-je tudna válaszolni, valószínűleg mérlegelik, hogy a javítás hiánya, vagy az esetlegesen becsúszó hibák okozzák-e a nagyobb problémát.
Valószínűleg az sem mindegy, hogy a kódbázisban hol helyezkedik el a sebezhetőség.
Én mágussá, ezzel a köznapi értelemben véve polihisztorrá váltam.
Vannak gyümölcsbor receptek normál (bóti sör (candida albicans)) élesztővel.

#35 Felhasználó inaktív   Tassadar 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.662
  • Csatlakozott: --

Elküldve: 2015. 03. 17. 08:32

@auth.gabor: Dokumentáció, sőt kész javítás beküldése helyett nyugodtan fenyegetőzhetett volna a Microsoft a legutóbbi Samba sebezhetőség kapcsán, mégsem ezt az utat választották.
Pedig a samba ugyanúgy sérti a Microsoft üzleti érdekeit, mint a puszta léte a google-nak.
Én mágussá, ezzel a köznapi értelemben véve polihisztorrá váltam.
Vannak gyümölcsbor receptek normál (bóti sör (candida albicans)) élesztővel.

#36 Felhasználó inaktív   bogdan 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 18.631
  • Csatlakozott: --

Elküldve: 2015. 03. 17. 09:24

Üzenet megtekintéseIdézet: Tassadar - Dátum: 2015. 03. 17. 07:38

@bogdan: Lásd egy hozzászólással feljebb, megtalálod az ID-t is.
ertem, tehat errol beszelsz:
https://code.google....3&can=1&q=20674

ez az, amiben szerinted nem is emlitik, hogy a MS megkereste oket? (de akkor mik azok a januar 8-ai bejegyzesek??)
es ez az, ami szerinted nem automatikus,
es ez az, ami szerinted a Google nyilatkozata?

(mert "feljebb" en meg mindig nem latok linket toled, pedig kertem!)
a forum ma:
"Ez van bazdmeg, ha nem tetszik, el lehet menni."

#37 Felhasználó inaktív   auth.gabor 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.365
  • Csatlakozott: --

Elküldve: 2015. 03. 17. 09:27

@Tassadar: "Erre a Microsoft management-je tudna válaszolni, valószínűleg mérlegelik, hogy a javítás hiánya, vagy az esetlegesen becsúszó hibák okozzák-e a nagyobb problémát."

De szépen körülírtad... dolgoztál már nagy cégnél szerintem, hetekig tart, mire valami információ felér egy döntésképes emberig és még utána is heteken át tartanak megbeszéléseket a témában... valószínűleg tanulnak az esetből és módosítanak valami eljárásrendet vagy folyamatot. A legutolsó utáni gondolatom, hogy technikailag tart sokáig a hibát kijavítani, volt már részem jó pár hibajavításban és a folyamatot megkerülő pávatáncban...

Persze lehetsz naiv is és gondolhatod, hogy azonnal előrevették az issue-t, félredobtak kaszát-kapát, elkezdtek a hibán motorozni és tényleg 92 nap megfeszített munkájába került a teljes kernelfejlesztő csapatnak a javítás, de azért gondold végig...

#38 Felhasználó inaktív   Jahno 

  • vérképkeretezés occsón
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 109.369
  • Csatlakozott: 2001. jan. 15.

Elküldve: 2015. 03. 17. 10:23

Üzenet megtekintéseIdézet: auth.gabor - Dátum: 2015. 03. 17. 09:27

A legutolsó utáni gondolatom, hogy technikailag tart sokáig a hibát kijavítani, volt már részem jó pár hibajavításban és a folyamatot megkerülő pávatáncban...

Persze lehetsz naiv is és gondolhatod, hogy azonnal előrevették az issue-t, félredobtak kaszát-kapát, elkezdtek a hibán motorozni és tényleg 92 nap megfeszített munkájába került a teljes kernelfejlesztő csapatnak a javítás, de azért gondold végig...


Gondolom egy "nem" az kimaradt, de látom idehaza belefutottál 3 hülyébe, aztán rögtön ráhúzod a mintát mindenre. Persze mikor én írtam, hogy a Jirával szopás vala és nem tetszetős, akkor uyganígy tiltakoztál, mert feléd működit, ettől a világ legjobb cucca. Jó is ez így nahh.
Make love not Wor.

#39 Felhasználó inaktív   UnA 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.482
  • Csatlakozott: --

Elküldve: 2015. 03. 17. 10:37

@Jahno: "... de látom idehaza belefutottál 3 hülyébe, aztán rögtön ráhúzod a mintát mindenre."

Szerintem ebben nincs kulonbseg, egy nagy ceg *mindig* nehezkes es burokratikus, legyen az itthon vagy mashol. Nekem legalabbis nem volt meg olyan tapasztalatom, ami ezt megcafolna :)

#40 Felhasználó inaktív   Jahno 

  • vérképkeretezés occsón
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 109.369
  • Csatlakozott: 2001. jan. 15.

Elküldve: 2015. 03. 17. 10:41

Üzenet megtekintéseIdézet: UnA - Dátum: 2015. 03. 17. 10:37

@Jahno: "... de látom idehaza belefutottál 3 hülyébe, aztán rögtön ráhúzod a mintát mindenre."

Szerintem ebben nincs kulonbseg, egy nagy ceg *mindig* nehezkes es burokratikus, legyen az itthon vagy mashol. Nekem legalabbis nem volt meg olyan tapasztalatom, ami ezt megcafolna :)


Előfordul, én meg látok olyan szoftveres bugokat, amit valóban ki akarnak javítani, esetleg közepesebb cégnél is, aztán mégsem sikerül.
Make love not Wor.

Téma megosztása:


  • (3 Oldal)
  • +
  • 1
  • 2
  • 3
  • Nem indíthatsz témát.
  • A téma zárva.

1 felhasználó olvassa ezt a témát.
0 felhasználó, 1 vendég, 0 anonim felhasználó