Dokumentumtervezetet adott ki a Microsoft, amiből megtudható, hogy melyik bugot tartja azonnali javításra érdemesnek

 ( trey | 2018. június 13., szerda - 13:55 )

és melyiket nem. A blogbejegyzés itt. A dokumentum itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Értelmes és tömör kis összefoglaló ami alapvetően a lakosságnak szól.

A CRITICAL besorolás:
Remote Code Execution

Az IMPORTANT besorolás:
Minden ami nem a másik kettő.

A MODERATE besorolás:
Denial of Service

Mondjuk egy terminal services alapú környezetben akármilyen local privilege escalation kritikusnak tekintendő...

Idézet:
A CRITICAL besorolás:
Remote Code Execution felhasználói interakció nélkül

Fixed.

Hogy ebbe pl. az beletartozik-e, ha az explorer mondjuk az alkalmazások ikonjai kirajzolása során rávehető kódfuttatásra (innentől az attack vector lehet egy központi file share, amit a usernek csak tallóznia kell), azt nem tudom. Remote-nak remote, én azt mondanám, hogy interakció nélküli, de vitatható...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ennyire azért nem szűröznék mert a felhasználó kb minden milliomodik pontnál ad bemenetet, vagyis nélküle semmi nincs, de vele se sok minden. Én a power gombot fognám rá maximum.

De akkor ha már szőrös, fogjuk rendesen.

Valódi példa:
- Gmail-ből küldött levél.
- O365-be megérkezett.
- Onnan egy szuperfriss gépen, szuperfrss Outlook 2013-ba.
- Keresztül a Microsoft Security Essentials-on.
- A kolléga a levelet csak törölte, de ez alatt a betekintő megnyílt.
- ... és már futott is a locky.

Ez most remote vagy local? Nyilván local, de a locky se a levélben volt.

Idézet:
Ez most remote vagy local? Nyilván local, de a locky se a levélben volt.

És ugyanez azzal, hogy az Outlook letölti a levelet, a Defender már ott (megnyitás előtt) nézi a forgalmat és abból törnek ki? Ott ugye kapásból SYSTEM joggal vagy és tényleg semmi interakció nem volt azt leszámítva, hogy elindította a user az Outlook-ot - ami ráadásul nem is a hibás szoftver ebben az esetben :)

Valamelyik Defender bug után írta Tavis a twitteren (azt hiszem ő és ott, de nem esküszöm meg rá), hogy titkosított zipben kellett küldenie a PoC-ot az MS-nek, mert nem akarta megborítani a levelezőszerverüket :) Az pont ez a sztori volt, a levélforgalmat figyelő alrendszer miatt volt távolról kihasználható a sérülékenység.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nem adok 10 évet a Windowsnak és már egy Linux alapú desktop lesz. A márkanevet megtartva. Bevétel már alig van belőle. Amiből a pénz jön a Microsoftnak az mind megoldható Linux alapú desktopon. Akár úgy is, hogy csak a Microsoft-féle Linuxon működjön, de a békepipa jegyében miért ne menne minden disztribúción?! Legfeljebb support nem lesz a többire. De akár még az Ubuntut is meg lehet tenni hivatalosan támogatott "közösségi" Linuxnak a hivatalos MS Windows (powered by Linux) mellett. És az onnan jövő pénz ugyanúgy jó.


Normális HUP-ot használok!

Majd ha aktívan beszáll a Wine-ba és a Mono-ba fejlesztésekkel-fejlesztőkkel-sok zsével, addig kéz a biliben.

"és a Mono-ba fejlesztésekkel-fejlesztőkkel-sok zsével"
A .Net Core open source, emellett a mono sokat nem számít.
https://dotnet.github.io/
Hivatalosan, MS által támogatottan nyílt forrás.

Az nem vallana a Microsoftra. Inkább csinálnak párhuzamosan egy saját szoftvert hasonló célra mint a wine. Természetesen a Microsoft jobban meg tudja oldani a teljes kompatibilitást.
A .NET Core-ról meg gondolom hallottál. De már írták előttem is.


Normális HUP-ot használok!

" Bevétel már alig van belőle."
vs:
https://www.microsoft.com/en-us/Investor/earnings/FY-2018-Q3/press-release-webcast
"Windows OEM revenue increased 4% (up 4% in constant currency) driven by OEM Pro revenue growth of 11%"
Az egész "More Personal Computing" kategória, amiben a Windows is van (meg a Surface, az XBox és a Bing advertising), 11%-kal nőtt.
A bevétel belőle negyedévente 9 milliárd dollár körül van.

Szóval a régi hagyományok szerint úgy lettek csoportosítva az adatok, hogy véletlenül le lehessen publikusan látni, hogy mennyi a tiszta windows licenc bevétel. Fizikai termék Surface ide ugye kell licenc és csak a MS könyvelésén múlik mekkora arányban részesül a bevételből és XBox elfedi a gödröket. A Bing üzemeltetését meg feltételezem máshol számolják el. :-) Az az Egyesült Államokon kívül csak elvben létezik.

A PC iparág globálisan nem produkált közel sem ilyen növekedést, csak a zsugorodás lassult. Az EU használt licences szabályozása sem növeli a licenc bevételeket. Bár inkább annyiból érdekes a dolog, hogy így fehéren feketén kiderült amit már régóta pletykáltak infós körökben, mennyit is fizetnek az oem-ek a Windows licencekért. 1 - 2 eurót.
Persze a részvényeseket is nyugtatni kell. Nehezen fogják fel, hogy majd másból jön a bevétel.
Bernie Madoff egyköri nasdaq guru is fantasztikus számokat publikált a legnagyobb válság idején. Aztán kiderült, hogy semmi nem igaz belőle. A Microsoft természetesen nem Madoff piramis, de Windows licenc bevételek emelkedésével kapcsolatban továbbra is szkeptikus vagyok. Más forrásból származó adatok nem támasztják alá.


Normális HUP-ot használok!

Azért ott már nagy baj van, ha Pixelbooktól és más Chromebookoktól várjuk a Windows PC világ zsugorodásának megállítását. :-)
Ezt különben egy jó hír, mert a Pixelbook egy elég jó notebook. Már a háttértár is elfogadható méretű. És jól jön ha van ott egy Windows opció.
De tudod mit, akár még kreatív könyvelés nélkül is lehet igazság az értékesített win licencek növekedésében. Kína egymaga, sőt csak a kínai kormányzati szervek is fel tudják pörgetni időlegesen a számokat ha úgy döntenek, hogy 10-ből az eddigi 9 helyett csak 8 PC-n lesz warez Windows és megduplázzák a vásárlásaikat. A Steam userek száma is pillanatok alatt durván megugrott az elmúlt ősszel úgy 80 millió kínaival valami multis játék miatt amit nagyon megkedveltek. Ráadásul ők mind vpn-es kínai steam userek. De a lényegen ez nem változtat. Kínára építeni kockázatos. Most épp egy kereskedelmi háborúskodás van kialakulóban. A Windows fejlesztésének a költségei is nőnek. És mivel most úgy állnak a dolgok, hogy a Windows 10 a végső verzió, például az EU-ban mindenki átviheti a következő notebookjaira a már meglevő Win 10 licencét.
Linuxos alapú Windowson pedig mindent meg tud oldani a Microsoft ami valóban jó pénzt hoz. Ugyanakkor sokat lehet spórolni a fejlesztés költségein. Egy új hardveres platformon való megjelenés is sokkal olcsóbb Linuxszal a motorháztető alatt. Most épp az ARM a divatplatform. De Windows ott csak Qualcomm-ra van és abból is csak bizonyos típusokon. Lehet bővíteni a palettát de az megint csak sok pénz, miközben itt még PC oem áraknál is nyomottabb áron kell adni a licenceket.


Normális HUP-ot használok!

A bonmot szerint jósolni nehéz, különösen, ha a jövőre vonatkozik.

Azért az figyelemre méltó, hogy a Microsoft már saját maga is elbukta a Windows brand alatti platformcserét (Windows 8) és az UWP sem pezseg igazán.

Linux userspace már ma is van Windows alatt.

Milyen előnyökkel járna egy ilyen váltás a felhasználóknak, a platformra építő (és oda már invesztáló) 3rd partyknak és a Microsoftnak?

Üdv,
Marci

Spórolna vele a Microsoft és ezzel párhuzamosan több hardveren tudna jelen lenni Fentebb leírtam.
A kérdés valójában az, milyen előnyökkel jár a Microsoftnak a jelenlegi helyzet fenntartása?


Normális HUP-ot használok!

Engem nem győztek meg a fenti állításaid.

"A Windows fejlesztésének a költségei is nőnek." - mire alapozod ezt?

"Linuxos alapú Windowson pedig mindent meg tud oldani a Microsoft" - de vajon befogadnák-e a Linux kernelfejlesztők a Microsoft számára fontos változtatásokat vagy a Microsoft ki lenne szolgáltatva egy külső szervezet döntéseinek kernel-fronton?

"Egy új hardveres platformon való megjelenés is sokkal olcsóbb Linuxszal a motorháztető alatt." - ezt mire alapozod? Gondolom nem hiszed, hogy azért van csak Qualcomm-ra Windows mert drága portolni...

"milyen előnyökkel jár a Microsoftnak a jelenlegi helyzet fenntartása?" - kompatibilitás, függetlenség, szellemi tulajdon védelme és monetizálása.

És milyen előnyökkel járna egy ilyen váltás a felhasználóknak, a platformra építő (és oda már invesztáló) 3rd partyknak?

Üdv,
Marci

"mire alapozod ezt?"
Több platform megnövekedett költségek. A kis szellem és a leolvadás foltozása is sok munkaórába van, ami nem is a MS hibája és még lesz ilyen. Egy önálló rendszer széles hardverpalettán nem olcsó, több platformon még drágább. Applenek könnyű dolga van, csak az saját hardverének támogatásával foglalkoznak amit prémium áron árulnak magas haszonkulccsal. A macOS, iOS adja ezeknek az exkluzivitást ami után csak az Apple szedi a pénzt.

"de vajon befogadnák-e a Linux kernelfejlesztők a Microsoft számára fontos változtatásokat vagy a Microsoft ki lenne szolgáltatva egy külső szervezet döntéseinek kernel-fronton?"
Most nagy a Microsoft ❤ Linux paradigmaváltásba talán még ez is belefér. De nincs szükség teljes együttműködésre sem. A Google is külön patch-csomagot tart karban saját Androidos igényeihez.

"ezt mire alapozod? Gondolom nem hiszed, hogy azért van csak Qualcomm-ra Windows mert drága portolni..."
Lehet, hogy sok pénzért sem menne ezernyi technikai probléma miatt. :-) A Windows CE közel sem volt ennyire finnyás. Az a maga idejében ott is volt sok gyártó termékén. Úri passzióból néhány Qualcomm chipre korlátozni a Windows arm kiadását nem ésszerű döntés.

"kompatibilitás, függetlenség, szellemi tulajdon védelme és monetizálása."
Kompatibilitás Linux alapokon is megoldható. Függetlenség? Kitől?! Egy eleve független, szabadon patchelhető rendszertől? Licenc díjat soha nem szedne Linus a Microsofttól :-D
És már nem ez a Microsoftos szellemi tulajdon hozza a nagy pénzt.

"És milyen előnyökkel járna egy ilyen váltás a felhasználóknak, a platformra építő (és oda már invesztáló) 3rd partyknak?"
Olcsóbb hardver, főleg a növekvő arm kínálat miatt. Ha jól csinálják egyébként sem vesznek észre belőle semmit. Az egyszeri Android user mit érez abból, hogy Linux kernel dolgozik a mobilján?! A platformra építő 3rd partyk már megéltek néhány kemény váltást az Windows XP óta. Azokat is túlélték.

De fordítsuk meg a gondolatmenetet.
Miért bukott akkorát a Windows Phone?
Nemcsak a Metro UI miatt. Nemcsak a túlkorlátozott rendszer miatt. A motorháztető alatt is súlyos problémák voltak.

Most, hogy a Google kezd elszemtelenedni, szerintem van egy kiadó hely a Microsoft számára. Egy eléggé jó pozíció. Ha nem csak üres marketingszöveg a Microsoft ❤ Linux.


Normális HUP-ot használok!