Nieuws
image

Microsoft patches verschijnen steeds later

donderdag 12 januari 2006, 17:28 door Redactie, 9 reacties

Microsoft krijgt al jaren kritiek dat het te traag is met het patchen van security lekken in haar software. Zeker als je dit vergelijkt met de snelheid waarmee lekken in een open source besturingssysteem zoals Linux en browser zoals Firefox worden gedicht. Security Fix onderzocht hoe lang de softwaregigant nu werkelijk doet over het repareren van haar produkten. Het blog keek naar de tijd die zat tussen de melding en het verschijnen van een update of patch.

Tot grote verbazing van de onderzoeker neemt Microsoft steeds meer tijd voor het uitbrengen van haar patches. In 2003 duurde het gemiddeld 90 dagen voordat men met een update kwam, in 2004 was het aantal dagen gestegen naar 134,5. Een aantal dat in 2005 zo goed als gelijk gebleven is.

Vooral als ook onderzoekers of de media op de hoogte van een security lek zijn is de softwaregigant geneigd om sneller met een update uit te komen. Volgens onderzoekers die op deze manier te werk gaan verhelpen bedrijven nu eenmaal eerder hun problemen als hun vuile was buiten komt te hangen, iets wat in het geval van Microsoft ook zo is.

In gevallen waar Microsoft via "full disclosure" op de hoogte was gesteld reageerde het een stuk sneller. In 2003 duurde het 71 dagen om zo'n lek te dichten, in 2004 was het aantal dagen teruggebracht naar 55 en in 2005 zelfs naar 46.

De softwaregigant is er ook in geslaagd om onderzoekers te overtuigen om een ontdekking eerst bij Microsoft bekend te maken. In 2003 gebeurde het 8 keer dat een ernstig Windows lek via full disclosure werd bekend gemaakt, vorig jaar slechts 4 keer.

Volgens Microsoft is het dichten van het lek niet het probleem, maar het testen van de patch. Wordt er een bug gevonden die door de patch is veroorzaakt, dan begint het hele proces van vooraf aan. Sommige security experts zijn erg te spreken over deze aanpak van Microsoft, waarbij er goed getest wordt, anderen zijn minder positief, en vinden dat MS haar klanten te lang aan mogelijke dreigingen blootstelt.

Reacties (9)
12-01-2006, 19:27 door G-Force
Is 134,5 dagen uitzonderlijk te noemen tegen het gemiddelde van 90
dagen? Ik weet uit dit bericht niets over de standaarddeviatie van de
onderzochte verzameling.
12-01-2006, 19:34 door Anoniem
Zijn dat werkdagen?
12-01-2006, 19:44 door Anoniem
Microsoft probeert met omtrekkende bewegingen het probleem
te negeren: Patch Security wordt bij Microsoft niet veiliger
maar steeds minder veilig terwijl ze dat juist zouden
verbeteren.

Het excuus dat het testen langer duurt is verwaarloosbaar
voor het hele probleem. Testen zorgt er voor dat er minder
kans is op bijkomende problemen, maar het veiligheid
probleem dat juist het grootst en gevaarlijkst is blijft
daardoor onnodig lang gebruikers machteloos maken.

In het verleden duurde testen volgens Microsoft minder lang
en zorgde voor toen ook niet voor onoverkomenlijke
problemen. Alleen als dat verschil in kwaliteit wel aanwezig
zou zijn heeft MS een klein puntje om het als excuus te
gebruiken.
13-01-2006, 08:02 door Anoniem
De titel is in elk geval niet juist je kunt ook stellen dat de ontwikkeltijd van
een patch zich heeft gestabiliseerd
13-01-2006, 08:50 door Anoniem
Wordt er een bug gevonden die door de patch is veroorzaakt, dan
begint het hele proces van vooraf aan.

Waarom van voor af aan. je kan de patch zodanig aanpassen dat de bugs
eruit zijn. En hoe zit het dan met al die andere miljoenen bugs in Windows.
Goeie testers hebben ze bij microsoft dan.
13-01-2006, 10:35 door Anoniem
Toch typisch dat Microsoft testen bij media aandacht slechts 50 dagen
duren en zonder media aandacht meer dan 130 dagen. Er zal toch
evenveel getest moeten worden, of niet? Liar Liar, you wall on fire.
13-01-2006, 16:34 door Anoniem
Door Anoniem
Zijn dat werkdagen?

lol denk het
13-01-2006, 17:57 door G-Force
Door Anoniem
Zijn dat werkdagen?

Ha, die vind ik goed!
17-01-2006, 08:27 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search