1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Project-Zero-Fristen: Google…
  6. Thema

Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4

Neues Thema Ansicht wechseln


  1. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: pythoneer 15.02.15 - 16:56

    yoyoyo schrieb:
    --------------------------------------------------------------------------------
    > Man kann durchaus darüber fantasieren, ob Android heute relevant wäre,
    > hätten die Hardwarehersteller/Telcos diese nicht bekommen.
    >
    > Wenn du Google da einen Strick draus drehen willst, dann eher in die
    > Richtung, dass sie wussten, dass ihre Partner in Sachen
    > Softwarelifecyclemanagement voll umfänglich versagen würden.
    >
    > Das ist aber bei Amerikanern ehrlich gesagt reichlich abwegig, dafür haben
    > die in der Regel viel zu viel Grundoptimismus.

    Richtig, dass ist ja gerade auch der Grund, warum die Hersteller überhaupt von ihrer eigenen Müllsoftware weg zu Android sind. Android als OS-Baukasten stand nämlich ziemlich gut gegenüber der eigenen Software der Hersteller da. Die Hersteller wollten aber nicht degradiert werden zu HardwareAsAService Provider, wo jeder nach belieben sein OS drauf klatschen konnte. Nichts anderes wäre das geworden, wenn Google quasi der Distributor der Software der Geräte geworden wäre. Die Hardwarehersteller wären dazu geworden, was PC-Hersteller heute schon sind. Für uns als Kunden gut, für die Hardwarehersteller nicht. Diese wollten schon noch ihr "eigenes" System haben es halt nur nicht selber entwickeln müssen. Da kam das Modell von Android gerade recht. Wäre Android das Windows/Linux/BSD .. etc. für Smartphones gewesen, was die Hersteller gezwungen hätten ihre Plattform so weit zu öffnen das jeder alles nach belieben bespielen kann - so wie beim PC - dann wäre Android wohl in einem dunklen Loch verschwunden.

  2. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: pythoneer 15.02.15 - 16:58

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Google ist dafür verantwortlich, weil sie den Geräteherstellern die
    > Möglichkeit geben, etwas selbst zu machen, letztere das nutzen und dann
    > ihre Kunden dann im Stich lassen? ← Dat Logik.

    Das ist vergleichbar mit: "Die Politik ist an jedem Mord schuld, weil sie dem Volk die Freiheit lassen zu tun, was sie wollen."

  3. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: __destruct() 15.02.15 - 17:03

    Man könnte sich fragen, ob Stahl üblicherweise mit Nutzungsbedingungen in Verbindung steht, so dass das Unternehmen, das den Stahl kauft, daraus keine Messer herstellen darf.

  4. Ich kann das gejammer echt nicht mehr hören!

    Autor: stoney0815 15.02.15 - 17:10

    Google patcht die Lücke nicht und fertig! Und selbst wenn sie es tuen würden: es ist ein integraler Systembestandteil, welcher nur durch ein Firmware update gepatcht werden könnte. Glaubt einer der Google Basher und Meckerziegen hier ernsthaft, das ein Gerätehersteller, der schon zu faul, geizig oder desinteressiert war, ein Update auf 4.4 für sein Gerät zu veröffentlichen, nun auf einmal doch noch schnell eine Aktualisierung seiner Firmware hinterherschiebt, nur weil Google einen Patch herausgebracht hat?

  5. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: Niantic 15.02.15 - 17:17

    M. schrieb:
    --------------------------------------------------------------------------------
    > Das Problem ist ganz einfach, dass viele Hersteller und auch Mobilfunker
    > ihre Smartphones und Tablets immer noch als Embedded-Geräte sehen, was sie
    > einfach nicht mehr sind. Das sind genauso 'Personal Computer', nur halt mit
    > einer anderen CPU-Architektur als x86. Ein OS, bei dem der Gerätehersteller
    > ein Image baut und die einzige Möglichkeit zum Patchen ist, das Image
    > komplett auszutauschen, wir solchen Geräten einfach nicht mehr gerecht. Das
    > OS in beschreibbaren Flash-Speicher mit einem ordentlichen Dateisystem zu
    > laden und eine richtige Paketverwaltung zu installieren schon eher.
    > Hersteller könnten natürlich ihre eigenen Pakete nachinstallieren, z.B.
    > Kernelmodule für ihre Hardware. ASOP würde die Android-Repositories
    > kontrollieren und eventuelle Updates verbreiten. Halt wie bei jeder anderen
    > Linux-Distribution.
    >
    > Das Problem ist, das wollen viele Hersteller einfach nicht. Die haben
    > lieber ihre goldenen Käfige und Anbieter-Branding aus der
    > Featurephone-Zeit.


    nur so als info, es ist nicht unbedingt erforderlich das komplette system als image zu liefern. Die Hersteller machen das zwar so, es wäre aber auch möglich einfach patches zu installieren. Der Flash-Speicher ist beschreibbar(nur im betrieb in der regel read-only gemounted), es gibt also (k)einen grund, updates zwangsläufig als image zu verteilen. Es wäre durchaus möglich einen updatemanager in android zu integrieren, der root-rechte hat, die systempartition rw remounten kann, einzelne dateien austauschen kann und die systempartition wieder als ro mounten kann. Dieser eine(2) gründe sind eben die, dass es ein mögliches einfallstor für mods ist, und dass man es immer schon so gemacht hat. Google hat hier mit den install scripts bei lollipop übrigens einen rückschritt unternommen. Bei updates wird ab lollipop die gesamte partition gepatched, vor lollipop wurden nur immer inkrementell files gepatched.(was im übrigen die update.zip dateien erklärt, das waren bis kitkat nämlich keine images) Andererseits macht dieser rückschritt was die geschwindigkeitsvorteile dabei betrifft sinn. es ist einfach schneller eine partition blockweise upzudaten als dateiweise, und das system erhält einen konsistenten status.

  6. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: Anonymer Nutzer 15.02.15 - 18:54

    Niantic schrieb:

    > nur so als info, es ist nicht unbedingt erforderlich das komplette system
    > als image zu liefern. Die Hersteller machen das zwar so, es wäre aber auch
    > möglich einfach patches zu installieren. Der Flash-Speicher ist
    > beschreibbar(nur im betrieb in der regel read-only gemounted), es gibt also
    > (k)einen grund, updates zwangsläufig als image zu verteilen. Es wäre
    > durchaus möglich einen updatemanager in android zu integrieren, der
    > root-rechte hat, die systempartition rw remounten kann, einzelne dateien
    > austauschen kann und die systempartition wieder als ro mounten kann.

    Ja,bei OTA Updates passiert genau das.

    > Dieser
    > eine(2) gründe sind eben die, dass es ein mögliches einfallstor für mods
    > ist, und dass man es immer schon so gemacht hat. Google hat hier mit den
    > install scripts bei lollipop übrigens einen rückschritt unternommen. Bei
    > updates wird ab lollipop die gesamte partition gepatched, vor lollipop
    > wurden nur immer inkrementell files gepatched.(was im übrigen die
    > update.zip dateien erklärt, das waren bis kitkat nämlich keine images)

    Google hat noch nie Zip Archive bereit gestellt.

    > Andererseits macht dieser rückschritt was die geschwindigkeitsvorteile
    > dabei betrifft sinn. es ist einfach schneller eine partition blockweise
    > upzudaten als dateiweise, und das system erhält einen konsistenten status.

  7. Re: Ich kann das gejammer echt nicht mehr hören!

    Autor: Lala Satalin Deviluke 15.02.15 - 19:11

    Das ist etwas, was ich bei einem 500 EUR Gerät als Support verstehe. Aber ok, wenn dir die Situation so gefällt...

    Grüße vom Planeten Deviluke!

  8. Re: Ich kann das gejammer echt nicht mehr hören!

    Autor: __destruct() 15.02.15 - 19:24

    Dann sollte man bei dem Saftladen, von dem man das Handy hat, nächstes mal nicht kaufen. So einfach ist die Sache. Ich hätte diese Meinung übrigens nicht, wenn das plötzlich käme. Dass es so kommen würde, war absehbar. Dass etwas absehbares Realität wird, sollte einen nicht wundern. Der Schaden wird von denen getragen, die durch ihr Kaufverhalten für die derzeitige Situation gesorgt und diese erst möglich gemacht haben.

    Nun rumzuflennen, ist bei unter 5 Jahren Lebensalter in Ordnung. Ab Vollendung des 5. Lebensjahrs sollte man aber etwas schlauer sein. Und ab da gilt in einem solchen Fall auch "selbst schuld".

  9. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: Jasmin26 15.02.15 - 20:00

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Das widerspricht sich, denn wenn es keine Webview mehr gibt kann auch eine
    > ungepachte App sie nicht mehr nutzen. Eben meinte jemand, dass Blink nun
    > als Webview unter 5.0 genutzt wird.
    Es geht um die web-engiene die die app nutzt! die steckt direkt in der app, ist die app selbst in htlm realisiert geht es garnicht ohne web-engiene. Ist die app nicht gepatch ist die alte webview mit all seinen 11 fehler immernoch am laufen

  10. Re: Ich kann das gejammer echt nicht mehr hören!

    Autor: stoney0815 15.02.15 - 20:12

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Das ist etwas, was ich bei einem 500 EUR Gerät als Support verstehe. Aber
    > ok, wenn dir die Situation so gefällt...

    Natürlich gefällt mir das nicht! Aber es ist verdammt nochmal die Schuld der Gerätehersteller und nicht die Schuld von Google. Mit 4.4, 5.0.x und demnächst 5.1 stehen 3 Möglichkeiten bereit, das Webview Problem zu fixen. Und selbst für die Mediatec SoCs stehen inzwischen Treiber für 4.4 zur Verfügung. Wobei man in einem Oberklasse Modell wohl eher selten Mediatec finden wird.

    Lenovo hat es bei meinem Yoga geschaft, von 4.2 auf 4.4 upzudaten. Und Oberklasse ist das Tablet jetzt nicht unbedingt.

  11. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: pythoneer 15.02.15 - 20:46

    Jasmin26 schrieb:
    --------------------------------------------------------------------------------
    > Es geht um die web-engiene die die app nutzt! die steckt direkt in der app,
    > ist die app selbst in htlm realisiert geht es garnicht ohne web-engiene.
    > Ist die app nicht gepatch ist die alte webview mit all seinen 11 fehler
    > immernoch am laufen

    Das ist doch völliger Quatsch! Wie ich bereits schrieb wir die Runtime nicht mit in der App ausgeliefert, warum auch? Wer allerdings so blöd ist und seine eigenen Webengine mitliefert und diese nicht updatet, der ist selber schuld – oder man sollte besser sagen, deren Nutzer tuen mir leid, sie sollte schleunigst wechseln und diesem App Anbieter in Zukunft den Rücken kehren.

  12. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: __destruct() 15.02.15 - 21:00

    Das interessiert den normalen Nutzer genau gar nicht.

  13. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: pythoneer 15.02.15 - 21:21

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Das interessiert den normalen Nutzer genau gar nicht.

    Was genau interessiert ihn nicht? Das sein System durch eine App ein Sicherheitsloch hat, Sicherheit im allgemeinen? Oder interessiert es ihn nicht, wie ein Sicherheitsloch zustande kommt und wer dafür die Verantwortung hat?

    Wenn du jetzt darauf anspielst, dass es dem Benutzer egal ist wer für das Sicherheitsloch zuständig ist, Google hat es gafälligst zu Patchen, dann kann ich nur müde lächeln. Was soll Google denn bitte machen, wenn Entwickler nicht in der Lage sind zu Programmieren? Soll Google jetzt die Fehler der App-Programmierer bereinigen? Soll Google die App selber Patchen? Langsam wird es lächerlich. Es gäbe im übrigen ein ziemlichen Aufschrei wenn sich herrau stellen würde, dass Google so mir nichts dir nichts Änderungen an Apps vornimmt OHNE den Signing Key zu besitzen. Also was ist dein Vorschlag, was Google tun sollte um idiotische App-Entwickler daran zu hindern so idiotisch zu sein?

  14. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: __destruct() 15.02.15 - 21:23

    Der normale Nutzer weiß nichts von dem Problem.

  15. Re: Ich kann das gejammer echt nicht mehr hören!

    Autor: Lala Satalin Deviluke 15.02.15 - 21:36

    Es ist ein Trugschluss die Schuld immer nur beim Verbraucher zu suchen. Und dann auch noch beleidigend zu werden zeugt nicht gerade von einem Alter über 5 Jahren!

    Wenn es nur dieses Angebot gibt gilt eben im Markt, Friss oder stirb! Da kann der Verbraucher leider nichts tun. KEIN Hersteller hat eine adequate Updatepolitik. Wenn ein Android-Patch oder eine neue Version eine Woche nach Veröffentlichung durch Google released werden würde, dann wäre das ok. Das sollte problemlos möglich sein, denn es muss dabei nicht unbedingt eine neue Sense-Version oder Touchlagg-Version veröffentlich werden. Die kann man auch nachschieben. Einfach die Anpassungen machen, dass das Ding läuft und fertig. Tun sie aber nicht. Ganze Versionen werden übersprungen und auf Patches scheißt JEDER Hersteller!

    Mein Protest: Unlock, CWM flasehn, CustomROM drauf. Auf Garantie scheiße ich auch, weil das einfach nur reine Verarsche ist. Ich warte keine Monate darauf bis ich mein Gerät wieder habe und habe nicht einmal Ersatz in der Zwischenzeit?! Nein, danke. Okotowari shimasu!

    Grüße vom Planeten Deviluke!



    2 mal bearbeitet, zuletzt am 15.02.15 21:38 durch Lala Satalin Deviluke.

  16. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: pythoneer 15.02.15 - 21:36

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Der normale Nutzer weiß nichts von dem Problem.

    Na dann sind doch alle glücklich mit der jetzigen Situation :)

  17. Re: Ich kann das gejammer echt nicht mehr hören!

    Autor: __destruct() 15.02.15 - 21:55

    Das würde nun normal darauf hinauslaufen, dass ich auf die Nexus-Line und Google Play Edition Devices verweise. Allerdings hatte wir die Diskussion schon mal und ich weiß, dass diese Geräte für dich nicht in Frage kommen. Zum Glück tun sie das für mich. Sonst würde ich auch CM flashen, kein Frage. Es gibt aber keinen richtigen Grund, wieso die o.g. Geräte für Normalos nicht passend wären.

  18. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: __destruct() 15.02.15 - 21:55

    Die meisten zumindest. Leider.

  19. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: pythoneer 15.02.15 - 22:01

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > Die meisten zumindest. Leider.

    Wieso leider? Ist doch schön wenn die meisten zufrieden sind oder bist du Misanthrop veranlagt?

  20. Re: Wurde schon die Webview in den Versionen < Android 4.4 gepatcht?

    Autor: __destruct() 15.02.15 - 22:15

    Sie wiegen sich in falscher Sicherheit. Später ist das Geflenne groß. Das ist genauso mit den ganzen Trotteln, die ständig Daten löschen, die sie dann doch noch brauchen, oder mit denen, die keine Datensicherungen machen und sich wundern, dass ihre Festplatte nach 10 Jahren den Geist aufgegeben hat, nachdem man ihnen jahrelang gepredigt hat, dass Festplatten ausfallen können und viele Festplatten, die genauso alt sind wie die ihrige, bereits ausgefallen sind.

    Ich konnte meinen Großvater dazu bringen, seine Daten regelmäßig zu sichern und der hat wirklich keinen blassen Schimmer von Rechnern. Bei meinen Eltern habe ich keine Chance, obwohl mein Vater externe Festplatten mit viel freiem Speicherplatz hat und vor Jahren sogar mal eine wirklich schlechte dd-Software gekauft hat, die er dann wahrscheinlich etwa 2 mal kurz nacheinander verwendet hat und seitdem nicht mehr. Ich habe leider das schlechte Gefühl, dass ich irgendwann zu ihnen nach Hause komme und sie mich fragen, ob ich mir mal ihren Rechner ansehen kann, weil er nicht mehr geht, und die Festplatte hinüber ist.

    Jüngere Leute haben wenigstens viele ihrer Daten bei einem Cloud-Dienst gespeichert. Aber dennoch wird es ärgerlich sein, wenn der Rest weg ist. Immerhin lassen sich unter Windows Links nur schwer anlegen, weswegen das keiner macht, und so landen viele Daten nicht beim Cloud-Dienst.

    Es ist also wie so oft die Blauäugigkeit, die mir Sorgen macht. Dabei ist das Beispiel beliebig gewählt. Genauso könnte man das Beispiel auch mit Verschlüsselung, Vertrauen in die Regierung, dem Glauben, mit der Tagesschau sei schon alles in Ordnung, etc. führen. Allerdings herrscht diesbezüglich wahrscheinlich mehr Diversität, hier im Forum. Also vielleicht doch nicht so beliebig. Aber es ist halt eins aus vielen.



    2 mal bearbeitet, zuletzt am 15.02.15 22:19 durch __destruct().

  1. Thema
  1. 1
  2. 2
  3. 3
  4. 4

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Senior Software-Entwickler:in Java / JavaScript lexoffice (m/w/d)
    Haufe Group, Freiburg im Breisgau
  2. Webdesigner (m/w/d)
    CSL-Computer GmbH & Co KG, Hannover
  3. Softwareentwickler (m/w/d) PHP eCommerce
    mobilcom-debitel GmbH, Hamburg
  4. Doktorand*in (d/m/w) Machine Learning / Causal Reinforcement Learning
    OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Merck: Von der Apotheke zum zweitbesten IT-Arbeitgeber
Merck
Von der Apotheke zum zweitbesten IT-Arbeitgeber

Das Pharmaunternehmen Merck ist auf Platz 2 der Top-IT-Arbeitgeber Deutschlands gelandet - wir wollten von den Mitarbeitern wissen, wieso.
Von Tobias Költzsch


    Apples M1 Max im Test: Schlicht eine ganz irdische Glanzleistung
    Apples M1 Max im Test
    Schlicht eine ganz irdische Glanzleistung

    Apple sagt zum M1 Max: "Amazing! Incredible! Phenomenal!" Golem sagt: Effizienz und Performance sind top, aber nicht überraschend.
    Ein Test von Marc Sauter

    1. Apple Silicon M1-Macbooks haben offenbar vermehrt Speicherlecks
    2. Apple Silicon Künftige Mac-Chips sollen Intels locker überholen
    3. Macbook Pro Mobile-Entwicklung profitiert von Apples M1

    Ohne Google, Android oder Amazon: Der Open-Source-Großangriff
    Ohne Google, Android oder Amazon
    Der Open-Source-Großangriff

    Smarte Geräte sollen auch ohne die Cloud von Google oder Amazon funktionieren. Huawei hat mit Oniro dafür ein ausgefeiltes Open-Source-Projekt gestartet.
    Ein Bericht von Sebastian Grüner

    1. Internet der Dinge Asistenten wie Alexa und Siri droht EU-Regulierung