De patchcyclus van maart ligt nog geen drie dagen achter ons, maar volgens beveiligingsexpert Andrew Storms kunnen systeembeheerders voor april hun borst nat maken. Microsoft is gemiddeld zestig dagen bezig met het testen van updates, zo ontdekte Storms, directeur Security Operations bij beveiligingsbedrijf nCircle.
Het is volgens hem vrij eenvoudig om te bepalen hoe lang de softwaregigant een patch heeft getest. "Als je nieuwsgierig bent, download de patch en kijk naar de datum van de digitale handtekening." Storms erkent dat dit niet helemaal accuraat is, omdat een patch het Quality Assurance (QA) proces meerdere keren kan binnengaan en verlaten. "Maar het is een redelijke schatting."
Voorspellen
Aan de hand van deze methode berekende hij dat Microsoft de patches van december 54 dagen had getest, terwijl men in november na 36 dagen al klaar was. De updates van oktober kregen na 45 dagen groen licht. "Het is niet lastig om van deze getallen tot een gemiddelde van zestig dagen te komen." Volgens Storms kunnen security teams en systeembeheerders de gegevens gebruiken om het uitrollen van de patches beter te plannen. "Hoewel we nooit helemaal de exacte patchdetails kunnen voorspellen."
Afwisseling
Microsoft wisselt daarbij een drukke patchdinsdag met een rustige af, wat ook geldt voor de omvang. "Maart was een behoorlijk lichte patchdinsdag, dus kunnen we verwachten dat het aantal Security Bulletins voor april waarschijnlijk boven de tien zal uitkomen." Storms merkt op dat systeembeheerders nu de kans hebben om het achterstallige uitrollen van patches in te lopen.
"Door vooruit te denken over april, is het zinvol om een grote patchronde van Microsoft te anticiperen, dus plan dat je alle hens aan dek hebt." Storms kan best gelijk krijgen, aangezien verschillende bekende lekken in Internet Explorer nog altijd op een patch wachten.
Deze posting is gelocked. Reageren is niet meer mogelijk.