Microsoft overweegt snellere veiligheidspatches

Het bedrijf heeft evenwel nog geen concrete plannen in die richting; aan het uitbrengen van bètaversies van securitypatches zouden nogal wat haken en ogen zitten. De patch voor de onlangs ontdekte Active Scripting-bug staat voor 11 april gepland; enkele bedrijven hebben al officieuze oplossingen uitgebracht gezien het groeiend aantal exploits dat in omloop komt.

Volgens securityconsultant Todd Towles is Microsofts gewoonte om veiligheidspatches uit te stellen tot de maandelijkse ‘patch Tuesday’, nadelig voor thuisgebruikers. ‘Zij beschikken vaak niet over de meervoudige lagen van bescherming die gebruikelijk zijn in bedrijfsomgevingen’, zegt Towles, die eraan toevoegt dat veiligheidsrisico’s met Microsofts software nu zo vaak voorkomen dat de tijd meer dan rijp is voor de softwaregigant om iets aan het gebruikelijke uitstel van patches te doen. ‘Microsoft staat langs de kant en laat anderen testpatches uitbrengen en de klappen opvangen als daar iets mis mee gaat, maar Microsoft laat ons wel de bèta van SQL-server gebruiken. Waarom geen bèta van een IE-patch?’, vraagt de securityconsultant zich af.

Stephen Toulouse van Microsoft zegt dat het snel patchen van problemen niet zo’n simpele zaak is als het wellicht lijkt. Volgens Toulouse is er allereerst het punt van quality control: patches moeten werken op een breed scala aan platformen, inclusief vele regionale varianten. ‘We kunnen niemand in de kou laten staan. Daarnaast is het mogelijk dat een patch nieuwe problemen met zich meebrengt. Dus ook als het om een “snelle fix” gaat, moeten we wel kwaliteit leveren. Dat benadrukken klanten keer op keer. Dat wil niet zeggen dat we niet zoeken naar manieren om het proces te versnellen – wellicht kunnen we bijvoorbeeld met minder tests volstaan – maar we hebben hier nog geen besluit over genomen’, aldus Toulouse.

Volgens Toulouse zou het uitbrengen van vroege bèta’s voor veiligheidspatches ook onbedoeld cybercriminelen van tips kunnen voorzien. ‘Er kunnen ongepubliceerde probleemfixes in zo’n update zitten. Als we met een security bulletin komen, dan maken we informatie over kwetsbaarheden openbaar. Bij een bètapatch is het ons nog niet duidelijk wat voor bulletin we op moeten stellen’, aldus Toulouse.