Microsoft overweegt snellere veiligheidspatches

Naar aanleiding van de recente problemen met Internet Explorer en kritiek op de snelheid van het uitbrengen van patches, wordt bij Microsoft nagedacht hoe het bedrijf sneller op de dreiging van exploits kan reageren. Volgens Stephen Toulose van Microsofts Security Response Center is het uitbrengen van bètapatches, voorafgaand aan de gebruikelijke patchronden, een van de scenario's waarnaar wordt gekeken. Het bedrijf heeft evenwel nog geen concrete plannen in die richting; aan het uitbrengen van bètaversies van securitypatches zouden nogal wat haken en ogen zitten. De patch voor de onlangs ontdekte Active Scripting-bug staat voor 11 april gepland; enkele bedrijven hebben al officieuze oplossingen uitgebracht gezien het groeiend aantal exploits dat in omloop komt.

Windows patch Volgens securityconsultant Todd Towles is Microsofts gewoonte om veiligheidspatches uit te stellen tot de maandelijkse 'patch Tuesday', nadelig voor thuisgebruikers. 'Zij beschikken vaak niet over de meervoudige lagen van bescherming die gebruikelijk zijn in bedrijfsomgevingen', zegt Towles, die eraan toevoegt dat veiligheidsrisico's met Microsofts software nu zo vaak voorkomen dat de tijd meer dan rijp is voor de softwaregigant om iets aan het gebruikelijke uitstel van patches te doen. 'Microsoft staat langs de kant en laat anderen testpatches uitbrengen en de klappen opvangen als daar iets mis mee gaat, maar Microsoft laat ons wel de bèta van SQL-server gebruiken. Waarom geen bèta van een IE-patch?', vraagt de securityconsultant zich af.

Stephen Toulouse van Microsoft zegt dat het snel patchen van problemen niet zo'n simpele zaak is als het wellicht lijkt. Volgens Toulouse is er allereerst het punt van quality control: patches moeten werken op een breed scala aan platformen, inclusief vele regionale varianten. 'We kunnen niemand in de kou laten staan. Daarnaast is het mogelijk dat een patch nieuwe problemen met zich meebrengt. Dus ook als het om een "snelle fix" gaat, moeten we wel kwaliteit leveren. Dat benadrukken klanten keer op keer. Dat wil niet zeggen dat we niet zoeken naar manieren om het proces te versnellen - wellicht kunnen we bijvoorbeeld met minder tests volstaan - maar we hebben hier nog geen besluit over genomen', aldus Toulouse.

exploit petje Volgens Toulouse zou het uitbrengen van vroege bèta's voor veiligheidspatches ook onbedoeld cybercriminelen van tips kunnen voorzien. 'Er kunnen ongepubliceerde probleemfixes in zo'n update zitten. Als we met een security bulletin komen, dan maken we informatie over kwetsbaarheden openbaar. Bij een bètapatch is het ons nog niet duidelijk wat voor bulletin we op moeten stellen', aldus Toulouse.

Reacties (24)

Bubbles

29 maart 2006 22:47

Op zich snap ik het punt van MS wel dat ze zeker willen zijn dat patches overal goed werken. Daar gaat gewoon tijd in zitten. Je wilt geen haastklussen gaan uitgeven. Dat hebben ze eerder namelijk wel eens gedaan, en dat hebben ze geweten ook.

Maarjah, het lijkt mij eigenlijk vrij voor de hand liggend om security patches gelijk uit te brengen zodra ze klaar zijn, en niet gaan wachten tot de maandelijkse patchdag. Sowieso vind ik die maandelijkse patchdag al onzinnig. Als een probleem opgelost wordt met een patch, waarom zou je er dan eerst nog enkele weken mee wachten, voordat je hem uitbrengt?

edit: Zowel FrankL als thegve begrijpen me gelukkig. Ik bedoelde er inderdaad mee te zeggen dat als een security-patch gemaakt is en uitvoerig getest is, dat je dan niet vrolijk nog (mogelijk) enkele weken gaat wachten, voordat je hem uitbrengt.
Ik doe zelf een opleiding Informatica en begrijp dondersgoed dat het maken van kwaliteitssoftware veel tijd vraagt. Je wilt natuurlijk dat je stukje code op alle verschillende systemen doet wat het hoort te doen, en niet andere problemen introduceert. Maar het is onzinnig om te wachten met uitbrengen van zo'n stuk code, als het volledig af en getest is.

edeboeck @Bubbles • 30 maart 2006 10:18

Eigenlijk is die maandelijkse patchdag er gekomen op vraag van de systeembeheerders zelf (kwestie van server-reboots zoveel mogelijk te beperken).

Als ze daar nu vanaf gaan stappen, moeten ze uiteraard hard kunnen maken waarom dat nodig is (en dit imho beperken tot de strikt noodzakelijke gevallen).

kodak @Bubbles • 30 maart 2006 01:47

Het antwoord geeft Toulouse al met de volgende verwoordingen: "is er allereerst het punt van quality control" en "zou het uitbrengen van vroege bèta's voor veiligheidspatches ook onbedoeld cybercriminelen van tips kunnen voorzien"

Kwaliteitcontrole zorgt voor de grootste vertraging voor het vrijgeven van definitieve patches. Criminelen hebben alleen wat aan de tips als ze die nog kunnen misbruiken voordat massaal correct werkende patches aangebracht zijn. Niet alleen om te voorkomen dat de eigenlijke bug misbruikt kan worden maar ook nieuwe bugs die door beta patches veroorzaakt worden.

Alleen als MS beta patches kan uitbrengen zonder dat er 'veel' tijd tussen zit voordat een definitieve patch beschikbaar is is het daadwerkelijk veiliger. Maar met de huidige snelheid van kwaliteitscontrole zit er al snel een paar weken tussen. Tenzij ze meerdere beta versies uitbrengen en dat is ook niet zo veilig omdat dan meer informatie vrijgegeven wordt die handig is voor criminelen, gebruikers geen trek hebben in veelvuldig patchen en Microsoft niet bepaald goed voor de dag komt als ze meerdere beta versies voor een probleem moeten uitgeven.

thegve @kodak • 30 maart 2006 09:34

Ik denk niet dat bravoman dat bedoelt. Als je op "patch maandag" een lek meld. Dan doen ze er een misschien wel een maand over om de fix te schrijven en te testen (heel makkelijk een maand zelfs lijkt me, bij een wat ingewikkelder lek). Vervolgens is ie op de volgende maand klaar, maar is ie dan te laat om nog mee genomen te worden met de patchronde, zodat je dus een maand te lang wacht. Daarnaast snap ik niet dat MS zo graag grote klappen op hun netwerkcapaciteit heeft door de hele wereld in 1 keer te laten updaten voor een hele maand. Als ze dat tussendoor zouden doen zou het hun ook wat netwerkcapaciteit schelen. Ik vind de download servers van MS nou niet bepaald snel ofzow, haal vaak lage snelheden.

3DDude @Bubbles • 29 maart 2006 22:49

misschien om hem uitvoerig te testen of ie wel werkt en niet mogelijk andere problemen naar boven brengt.
patchen ze 1 ding hebben ze 3 nieuwe lekken .. schiet op.

Frank-L @3DDude • 29 maart 2006 23:14

Uitgebreid testen, okee. Maar wat Bravoman80 hierboven waarschijnlijk bedoelt, en waar ik het helemaal mee eens ben, is: waarom wachten tot Patch Tuesday nadat je een fix uitvoerig hebt getest? Na het maken van een fix kunnen ze toch gewoon uitvoerig testen en dan meteen releasen? Als het testen toevallig de dag na Patch Tuesday afgerond is, waarom moet de patch dan een maand wachten om uitgerold te worden?

cyspoz 29 maart 2006 22:45

Tja ik heb als consument dan meer de bedrijfsvisie. Zorg dat je spullen gewoon goed beveiligd zijn als eindgebruiker. Dan hoef je ook geen beta patches te downloaden. Iets waar ik toch niet echt op zit te wachten. Ik heb liever goede patches die ik kan vertrouwen. En zelfs dan wacht ik meestal nog even om te controleren of er geen problemen mee zijn.

kodak @cyspoz • 30 maart 2006 01:29

Bedrijfsbeveiliging bestaat uit gebruik van meer lagen. De ene beveiligings vorm (bijv anti-spyware) kan dan een gebrek aan andere beveiliging (bijv firewall of gebruiker) opvangen. Maar dan nog kan je het nog zo goed proberen te beveiligen, het probleem blijft het bestaan van de bug zelf. Met gelaagde beveiliging zorg je alleen voor dat gebruik van de bug zoveel mogelijk wordt voorkomen. En aangezien die bugs juist uitzonderingen zijn op normale situaties is dat met lang niet alle middelen goed te doen tenzij die middelen 'weten' waar ze op moeten letten.

Beveiliging van bugs is een lapmiddel en geen oplossing.

Frubelaar 29 maart 2006 22:56

De reden van die patchdag is dat gebruikers dan weten wanneer ze updates kunnen verwachten ipv dagelijks te checken.
Onzin natuurlijk want met automatiche updates is dat geen probleem.

Ik ziet het meer als PR.
De maandelijkse updates kwamen toen MS flink onder vuur lag ivm vele lekken.
men moest laten zien "Kijk wij werken er serieus aan!"
Nu gaan ze (misschien) terug naar de oude situatie en brengen dat ook weer alsof ze heel begaan zijn met de klant.

"Volgens Toulouse is er allereerst het punt van quality control"
Inderdaad. Beter zou zijn dat ook toe te passen in de ontwerpfase v/h OS...

Eldee @Frubelaar • 30 maart 2006 06:26

Microsoft doet het volgens jou ook nooit goed...

Vertel eens wat en hoe jij zou doen én hoe je dat zou vertellen / uitleggen?

Anoniem: 172051 @Frubelaar • 29 maart 2006 23:20

@spammy
Dat ben ik direct met je eens. Waarom kan je een verhaal niet even door je duur betaalde pr afdeling laten bijschaven.

Ik ben volledig voor het maken --> testen --> verspreiden zodra goed bevonden. Per slot van rekening is de automatische updates mogelijkheid geen gelegenheid om je windows installatie te nekken (zoals je helaas maar al te vaak hoort in verschillende forums

)
De simpele consument die nog nooit heeft gehoord van sp2 begint naar mijn idee toch zo langzamerhand behooorlijk ziek te worden van allerlei narigheid.

In deze wereld van wrede pc-privacy-schendingen is een simpele windows xp zonder updates of firewall/virusscanner in combinatie met een snelle internetverbinding al gauw ten dode opgeschreven.

Bovendien: Als je maandelijks kijkt zie je dan over het hoofd dat er al ruim een jaar een link naar sp2 prominent in beeld verschijnt?

TheAnimaL @Frubelaar • 30 maart 2006 08:50

Microsoft zit met een veel grotere moeilijkheid dan alleen het op tijd uit brengen van patches. De PR machine wordt inderdaad ingeschakeld om de gemoederen wat te sussen.

Ik zie Microsoft voorlopig nog niet afstappen van haar maandelijkse patch-dag. Dat zal pas gebeuren nadat Vista is uitgebracht en dan ook alleen voor het Vista OS.

De grotere moeilijkheid zit 'm namelijk in de grote blob aan code die windows xp vormt. Zoals eerder een aantal malen is voorgekomen, kan een patch in zo'n blob van code invloeden hebben op andere delen van het OS die niet helemaal de bedoeling hadden moeten zijn.

Om die eventuele bijwerkingen van patches uit te sluiten, heb je nou eenmaal tijd nodig en zal die maandelijkse patch dinsdag voorlopig nog wel blijven bestaan.

Bij een meer modulair OS, zoals vista zou moeten worden volgens MS, hoef je je alleen te concentreren om dat ene onderdeel. Een patch voor IE heeft geen invloed meer op de rest van het OS, etc. etc.

Ik blijf benieuwd...

Hero of Time Moderator LNX 29 maart 2006 22:50

Goed dat ze nu weer overwegen om het sneller uit te gaan brengen. Werd ook wel hoog tijd. Kijk maar naar wat het WMF verhaal heeft gedaan, toch een eerdere release van de patch. Laat ze dan de patches 2x per maand uitbrengen ipv de 1x nu. Zijn ze toch een beetje laat, maar minder dan een hele maand wat dus nu het geval is. Op die manier heeft een exploit minder de tijd om rond te kruipen op het net en dus minder schade aanrichten. Het testen van een patch duurt toch geen maand?

wowi 29 maart 2006 23:59

Wat een onzin dat verhaal over systeembeheerders, daar hebben ze juist wus voor dus die moeten niet zeuren, daarmee kunnen ze het zelf regelen !!!!! Dus gewoon de update beschikbaar stellen als die klaar voor uitrol is.

Proxy 31 maart 2006 03:42

Het voordeel van een bètapatch is dat het lek gedicht is, nadeel is dat er natuurlijk nog veel bugs in kunnen zitten die nare effecten kunnen hebben. Het zou iig handig zijn dat als men de bètapatch installeerd en even later de final patch, de bèta eerst volledig wordt verwijderd.

Anoniem: 112518 29 maart 2006 22:50

EUH, wat ik niet snap he.... is het zo moeilijk om, wanneer een patch gemaakt is deze gewoon te verspreiden zodra die de test / beta fase voorbij is. Ofwel --> maken --> testen --> verspreiden zodra goed bevonden. Voor iedereen die automagisch update is dat toch totaal geen probleem?

Wat snap ik hier niet aan?

mashell @Anoniem: 112518 • 29 maart 2006 23:09

Jij snapt het wel, maar het maandelijkse patchen is voortgekomen uit klachten van systeembeheerders die telkens van hun reguliere werk gestoord omdat er weer een patch was en die moest natuurlijk zo snel mogelijk uitgerold worden. Systeembeheerders willen/moeten de patch eerst zelf nog testen en dus komen ze niet aan hun eigenlijke werk toe, met een maandelijkse patchdag kunnen ze dit inplannen.

Frank-L @mashell • 29 maart 2006 23:17

Laat de thuisgebruikers de patches dan meteen krijgen, en laat de systeembeheerders zelf kiezen op welk moment ze de verzamelde patches installeren. Kunnen ze zelf het veiligheidsrisico afwegen tegen het verstoren van hun eigen planning.

Anoniem: 112518 @Frank-L • 29 maart 2006 23:47

IDD FrankL,

Ik heb mijn automagisch updaten aanstaan, maar dan alleen de notification. Zodra ik een melding krijg dat er updates zijn, doe ik de evt updates altijd handmatig via de update site. Dat moet in een werkomgeving toch ook te realiseren zijn. Daarbij kun je mij niet wijsmaken dat de gemiddelde systeembeheerder niet allang op de hoogte is van een evt veiligheidslek met hoog risico, voordat de patchdag van microsoft aanbreekt!

twooggy 29 maart 2006 22:43

Ze weten toch echt niet meer waar ze naar toe moeten of wel soms? Eerst hadden ze om de haverklap patches, daarna Patch dinsdag, met soms nog langere tussenpozen, en nu willen ze weer sneller gaan patchen?
Make up your mind, zou ik zeggen

loodgieter 30 maart 2006 00:36

Microsoft overweegt snellere veiligheidspatches

Hoe hard gaan ze nu dan boven de 120km/u

Diggie9 @loodgieter • 30 maart 2006 02:37

iig hoop ik sneller dan 120KB sec.. wat in sommige gevallen egt niet te halen is

TromboneFreakus 30 maart 2006 12:46

Beta-patches doen vermoedelijk meer kwaad dan goed. Krijgen we bij aangetoonde fouten in die patches dan ook weer beta-patches om het lek in de beta-path te dichten, wat na verloop van tijd zelf een lek blijkt te bevatten en met een nieuwe beta-patch moet worden gedicht???

Op dit item kan niet meer gereageerd worden.

Microsoft overweegt snellere veiligheidspatches

Lees meer

Reacties (24)

Sorteer op:

Weergave: