Microsoft patches verschijnen steeds later
Microsoft krijgt al jaren kritiek dat het te traag is met het patchen van security lekken in haar software. Zeker als je dit vergelijkt met de snelheid waarmee lekken in een open source besturingssysteem zoals Linux en browser zoals Firefox worden gedicht. Security Fix onderzocht hoe lang de softwaregigant nu werkelijk doet over het repareren van haar produkten. Het blog keek naar de tijd die zat tussen de melding en het verschijnen van een update of patch.
Tot grote verbazing van de onderzoeker neemt Microsoft steeds meer tijd voor het uitbrengen van haar patches. In 2003 duurde het gemiddeld 90 dagen voordat men met een update kwam, in 2004 was het aantal dagen gestegen naar 134,5. Een aantal dat in 2005 zo goed als gelijk gebleven is.
Vooral als ook onderzoekers of de media op de hoogte van een security lek zijn is de softwaregigant geneigd om sneller met een update uit te komen. Volgens onderzoekers die op deze manier te werk gaan verhelpen bedrijven nu eenmaal eerder hun problemen als hun vuile was buiten komt te hangen, iets wat in het geval van Microsoft ook zo is.
In gevallen waar Microsoft via "full disclosure" op de hoogte was gesteld reageerde het een stuk sneller. In 2003 duurde het 71 dagen om zo'n lek te dichten, in 2004 was het aantal dagen teruggebracht naar 55 en in 2005 zelfs naar 46.
De softwaregigant is er ook in geslaagd om onderzoekers te overtuigen om een ontdekking eerst bij Microsoft bekend te maken. In 2003 gebeurde het 8 keer dat een ernstig Windows lek via full disclosure werd bekend gemaakt, vorig jaar slechts 4 keer.
Volgens Microsoft is het dichten van het lek niet het probleem, maar het testen van de patch. Wordt er een bug gevonden die door de patch is veroorzaakt, dan begint het hele proces van vooraf aan. Sommige security experts zijn erg te spreken over deze aanpak van Microsoft, waarbij er goed getest wordt, anderen zijn minder positief, en vinden dat MS haar klanten te lang aan mogelijke dreigingen blootstelt.
dagen? Ik weet uit dit bericht niets over de standaarddeviatie van de
onderzochte verzameling.
te negeren: Patch Security wordt bij Microsoft niet veiliger
maar steeds minder veilig terwijl ze dat juist zouden
verbeteren.
Het excuus dat het testen langer duurt is verwaarloosbaar
voor het hele probleem. Testen zorgt er voor dat er minder
kans is op bijkomende problemen, maar het veiligheid
probleem dat juist het grootst en gevaarlijkst is blijft
daardoor onnodig lang gebruikers machteloos maken.
In het verleden duurde testen volgens Microsoft minder lang
en zorgde voor toen ook niet voor onoverkomenlijke
problemen. Alleen als dat verschil in kwaliteit wel aanwezig
zou zijn heeft MS een klein puntje om het als excuus te
gebruiken.
een patch zich heeft gestabiliseerd
begint het hele proces van vooraf aan.
Waarom van voor af aan. je kan de patch zodanig aanpassen dat de bugs
eruit zijn. En hoe zit het dan met al die andere miljoenen bugs in Windows.
Goeie testers hebben ze bij microsoft dan.
duren en zonder media aandacht meer dan 130 dagen. Er zal toch
evenveel getest moeten worden, of niet? Liar Liar, you wall on fire.
Zijn dat werkdagen?
Ha, die vind ik goed!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
