Kwetsbaarheden in android mag Google oplossen. Blijft raar dat concurrentie op het slechte zoeken bij p
anderen gebeurt. Ik zie liever verbetering van de eigen producten

Soms moeten bedrijven geholpen worden door derden om hun producten beter c.q. veiliger te maken.

En wat is je probleem, het maakt toch niet uit wie het probleem vind als het maar snel opgelost wordt.

Jij als voorstander om boven de OS discussies te staan zou dit zeker moeten toejuichen.

Laat Google zorgen dat ze hun eigen spullen op orde hebben.
Dit soort meldingen zijn alleen maar stemming maken voor zich zelf.

Dat ben ik niet helemaal met je eens. Het is wel jammer dat de code vrijgegeven wordt voordat er een patch is maar als ze het niet hadden gedaan was de 90 dagen regel niets meer waard.

Hoe je er ook over denkt, feit is dat de security vulnerabilities bestaan. Het is belachelijk als we gaan stellen dat het er toe doet wie ze vindt. Als jij Windows 10 gebruikt, en Google weet een vulnerability te vinden terwijl MS die over het hoofd ziet, hoe wordt jouw security beter door Google het woord te ontnemen?

En veel producten en diensten die Google voor vulnerabilities researched, kunnen invloed hebben op de security van Googles diensten en producten. Een van de redenen waarom Google voor een lange tijd de AV industrie onder de loep nam, is omdat de AV industrie voor hinder zorgt voor Google om de beveiliging Chrome te verbeteren.

Zou het ook zo kunnen zijn,dat het Microsoft niet is gelukt binnen 90 dagen dit beveiligingsprobleem op te lossen?

The Windows MetaFile Backdoor?
https://www.grc.com/sn/sn-022.txt

Volgens https://vuldb.com/?id.97039: Dat suggereert dat een webpagina bezoeken niet voldoende is?
Aangezien alle gangbare Windows versies (client en server) zijn betroffen lijkt dit op een hele oude bug, zo eentje die 9 jaar onontdekt is gebleven. Charmant (maar uiteraard vervelend).

We krijgen weer updates op 14 maart,komt er nu een nood-patch ter voorkoming van,
of gaat het nu op grote schaal misbruikt worden,nu er voorlopig geen updates komen.
Een zorgwekkende situatie......

Tuurlijk, zie je nou wat er gebeurt? Die KL*TEMicrosoft met z'n updates uitstellen en er is meteen al een lek.

Laat ik deze nemen om te reageren. Je stelt denk de beste juiste vragen.

1/ Prima dat er onderzoekers zijn die onafhankelijk toetsen. Dat is geen probleem.
De vraag of het uitmaakt wie de onderzoekers zijn wel.
Als het de directe concurrenten in de markt zijn wordt de ethiek twijfelachtig.
Pepsi-cola die coka-cola aan een warenonderzoek blootstelt. Of GM die de uitstoot van Volkswagens test.
Exota en buckle hebben de macht van beeldvorming getoond. Misbruik van beeldvorming is ook een kwalijke zaak.

Kortom controle validatie etc. hoort onafhankelijk gedaan te worden en geen deel van commerciële marketing uit te maken.

2/ Een responsible Disclosure https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html
"Een voorname drijfveer bij de white-hat hackers en beveiligingsonderzoekers is het leveren van een bijdrage aan de veiligheid van ICT-systemen door kwetsbaarheden en risico’s aan de kaak te stellen. Hiermee kunnen goedwillende hackers en beveiligingsonderzoekers een belangrijke rol vervullen naar partijen die kwetsbare systemen bezitten."

"Centraal bij het werken met responsible disclosure staat het verhelpen van de kwetsbaarheid en het verhogen van de veiligheid van informatiesystemen."

Er staan nog een hele rits overwegingen in dat document.
De issues:
- Google onderzoekers worden beschermd door de macht van het grote commerciële conglomeraat Alfabet. Stel nu dat jij zoiets zo vinden en zo zou handelen. Er vanuit gaande dat de kwaliteit onderbouwing correct is. Denk je dat jij op de zelfde
manier zoiets kan brengen als google.
- Google stelt zijn eigen regels voor een RDSP of die ethisch werkbaar zijn maakt ze niet uit.
Neem nu de zaak van volkswagen radboud en die sleutelaffaire. Een jaar of 2 door de rechter tegengehouden dat er iets aan de hand was (macht commercie). Tijd en aanpak ethiek vanuit radboud past beter in die zaak.

Wat een ongelofelijke onzin. Microsoft en andere techgiganten maken veel producten met miljoenen regels code die nog altijd gemaakt wordt door mensen. Ook met interne (al dan niet geautomatiseerde) controle kunnen er kwetsbaarheden ontstaan. Het feit dat er anderen zijn die willen helpen, of dat nou Google, een andere concurrent of een onafhankelijke onderzoeker is, moet juist worden toegejuicht omdat het bijdraagt aan een iets veiliger internet.

Het zelfde geld eigenlijk voor OpenSSL. Misschien wel 1 van de meest gebruike libraries? Het zit bijna overal wel in. En toch zitten er iedere keer grote gaten in. Terwijl de code gewoon zichtbaar is voor iedereen, maar blijkbaar kijkt er bijna niemand naar. Zoals bij veel grote opensource producten.

Maar hadden ze dan gewoon de patches moeten uitbrengen, en dat er dan systemen omwaren gevallen? Blijkbaar heeft men problemen geconstateerd en heeft men besloten om de patch niet uit te brengen. Is het ook weer niet goed.
De beste stuurlui staan gelukkig altijd aan wal.

Alles is en wordt door mensen gemaakt.

Zo houden ze daar geen achterdeurtje over! ;)

Wat bedoel je? Wie zijn 'ze'? Wat bedoel je met 'daar'. En hoezo 'achterdeurtje over'? Wat is een achterdeur over?

De werkelijke blamage is oss waar iedereen de source kan zien maar niemand de gaten en blunders herkend.
De grote commerciële jongens ibm hp Google Apple sap Oracle Amazon hebben al lang oss omarmd als een makkelijk door te verkopen iets in de gebundelde paketten wasr de hoofdprijs voir betaald wordt. Ook heel makkelijk voor ze om de verantwoordelijkheid te ontlopen als er niets goed zit. Zij kunnen er zogenaamd niets aan doen.