-
Wieso braucht denn Oracle so lange für die Patche und hält sie zurück?
Autor: Spaghetticode 30.08.12 - 15:08
Dass jemand so lange braucht, um Sicherheitsprobleme zu beseitigen, kann ich bei einem Hobbyprogrammierer verstehen. Aber nicht bei so großen Firmen wie Adobe, Apple, Microsoft, Mozilla und Oracle.
Mozilla zeigt, dass Sicherheitslücken ein ernstes Problem sind und schiebt auch mal außerplanmäßige Updates rein. Sicherheitslücken bleiben nicht über mehrere Wochen offen. Es wurde in der letzten Zeit nicht über Exploits in Mozilla-Software berichtet.
Microsoft beharrt gerne auf seinem Patchday und lässt Sicherheitslücken offen. Bei Exploits wird aber schnell reagiert und ein (außerplanmäßiges) Update veröffentlicht. Es gibt nur vereinzelte Meldungen von Exploits auf Microsoft-Software.
Adobe und Oracle beharren gerne auf seinem Patchday, daran gibt es nichts zu rütteln. Es ist denen schnurzpiepegal, ob Sicherheitslücken ausgenutzt werden. Updates verbreiten sich nach Veröffentlichung nur zögerlich. Es gibt massenweise Exploits. -
Re: Wieso braucht denn Oracle so lange für die Patche und hält sie zurück?
Autor: Captain_Koelsch 30.08.12 - 15:47
http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=Firefox&filter_exploit_text=&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=
Im Jahr 2012 immerhin 5 Einträge in dieser Datenbank.
http://www.osvdb.org/search/search?search%5Bvuln_title%5D=Firefox&search%5Btext_type%5D=titles&search%5Bs_date%5D=&search%5Be_date%5D=&search%5Brefid%5D=&search%5Breferencetypes%5D=&search%5Bvendors%5D=&search%5Bcvss_score_from%5D=&search%5Bcvss_score_to%5D=&search%5Bcvss_av%5D=*&search%5Bcvss_ac%5D=*&search%5Bcvss_a%5D=*&search%5Bcvss_ci%5D=*&search%5Bcvss_ii%5D=*&search%5Bcvss_ai%5D=*&kthx=search
Hier auch zig Einträge
1 mal bearbeitet, zuletzt am 30.08.12 15:50 durch Captain_Koelsch. -
Re: Wieso braucht denn Oracle so lange für die Patche und hält sie zurück?
Autor: Ampel 30.08.12 - 16:39
Spaghetticode schrieb:
--------------------------------------------------------------------------------
> Dass jemand so lange braucht, um Sicherheitsprobleme zu beseitigen, kann
> ich bei einem Hobbyprogrammierer verstehen. Aber nicht bei so großen Firmen
> wie Adobe, Apple, Microsoft, Mozilla und Oracle.
>
Gerade die Großen lassen gern mal die Kunden hängen . sicherheitslücken stopfen kostet Geld und ist her als Service anzusehen .Und wer will schon Unkosten produzieren wenn es eh keiner merkt ?
Ausnahme ist hier Mozilla.
> Mozilla zeigt, dass Sicherheitslücken ein ernstes Problem sind und schiebt
> auch mal außerplanmäßige Updates rein. Sicherheitslücken bleiben nicht über
> mehrere Wochen offen. Es wurde in der letzten Zeit nicht über Exploits in
> Mozilla-Software berichtet.
>
Das ist es ja gerade da Mozilla auch von der Open Source Community Profitiert.
> Microsoft beharrt gerne auf seinem Patchday und lässt Sicherheitslücken
> offen. Bei Exploits wird aber schnell reagiert und ein (außerplanmäßiges)
> Update veröffentlicht. Es gibt nur vereinzelte Meldungen von Exploits auf
> Microsoft-Software.
>
Nicht ganz Microsoft kommt nicht hinterher bei den vielen Problemen die nicht nur in Windows zu finden sind. Hätte Windows die community von Open Source im Rücken, wären alle Bugs in 2 Wochen (unter Garantie) behoben. Und da Microsoft gott sei dank nicht so viele Mitarbeiter hat dürfen alle die Windows Nutzen und die dazu gehörigen Programme gerne warten. Wer Zahlt ist letztendlich der dumme auch wenn niemand das wahrhaben will.
> Adobe und Oracle beharren gerne auf seinem Patchday, daran gibt es nichts
> zu rütteln. Es ist denen schnurzpiepegal, ob Sicherheitslücken ausgenutzt
> werden. Updates verbreiten sich nach Veröffentlichung nur zögerlich. Es
> gibt massenweise Exploits.
Ab einer gewissen Größe einer Company wird diese Unflexibel ( wegen Ihrer größe) . Es muss erst richtig krachen ,damit die dann aufwachen und reagieren. Dies ist aber nicht nur im Softwarebereich so sondern generell in allen Sparten .
In Anbetracht dieses kranken Spinners aus Seattle,Washington (USA) habe ich meinem Tux die Schrotflinte gegeben. -
Re: Wieso braucht denn Oracle so lange für die Patche und hält sie zurück?
Autor: Spaghetticode 30.08.12 - 19:37
Eine kleine Ergänzung:
Warum sollte Rücksicht auf die Enterprise-Kunden genommen werden? Privatpersonen und Kleinunternehmen werden so unnötigen Sicherheitsrisiken ausgesetzt. Die bekommen ja nun dank Oracle die BKA-/GVU-/GEMA-Trojaner ab.
Und ob es wirklich im Interesse der Enterprise-Administratoren ist, lieber ein pünktliches Update zu haben (wegen der Planung), aber einem Sicherheitsrisiko ausgesetzt zu sein und (ungeplant) die BKA-/GVU-/GEMA-Trojaner entfernen zu müssen.
Oder bekommt Oracle Geld von den Entwicklern der BKA-/GVU-/GEMA-Trojaner, damit sie die Sicherheitslücke lange offen lassen? (Adobe will ja auch Google Chrome bzw. McAfee einschmuggeln, damit sie was extra verdienen.) -
Re: Wieso braucht denn Oracle so lange für die Patche und hält sie zurück?
Autor: Spaghetticode 30.08.12 - 20:01
Ampel schrieb:
--------------------------------------------------------------------------------
> Gerade die Großen lassen gern mal die Kunden hängen . sicherheitslücken
> stopfen kostet Geld und ist her als Service anzusehen .Und wer will schon
> Unkosten produzieren wenn es eh keiner merkt ?
Wenn meine Sicherheitslücke nicht gestopft wird, frage ich mich schon, ob Software auch unter die Gewährleistung (2 Jahre ab Kauf) fällt und ob es ein entsprechendes Konkurrenzprodukt gibt.
> Hätte Windows die community von Open
> Source im Rücken, wären alle Bugs in 2 Wochen (unter Garantie) behoben.
Aber 2 Wochen nach Bekanntwerden. Es gab auch Sicherheitsprobleme in Linux, die lange Zeit nicht bemerkt wurden (siehe OpenSSL-Sicherheitslücke in Debian).
> Ab einer gewissen Größe einer Company wird diese Unflexibel ( wegen Ihrer
> größe) . Es muss erst richtig krachen ,damit die dann aufwachen und
> reagieren. Dies ist aber nicht nur im Softwarebereich so sondern generell
> in allen Sparten .
Glück für die Softwarehersteller, Pech für die Kunden: Viele Softwareprodukte der großen Unternehmen haben keine ebenbürtige Konkurrenz (zum Beispiel bei Microsoft Windows, Adobe Photoshop, Adobe Flash Player, Oracle Java JRE), sodass die Kunden nicht einfach zur Konkurrenz weglaufen können (auch bekannt als „Vendor Lock-in“).



