Keer op keer zeg ik hierop dat 0days dus totwel 30 dagen gewoon niet gepatcht kunnen zijn.

MS heeft bij ernstige CVE's regelmatig een tussentijdse fix of patch uitgegeven.

Gelukkig dan maar dat andere besturingssystemen het op dag 1 al voor elkaar hebben!?

Het is de grootst mogelijke onzin die ooit uit Redmond gekomen is...
Het heeft NIETS te maken met security maar met marketing... ALLEEN markteting...

In de periode dat dit ingevoerd werd, kwamen de zerodays voor windows sneller dan een bamirol uit de muur.. Dat had een impact op het vertrouwen van Windows en Office producten. Elke keer weer een patch, soms 3 keer per week. DAT is aangepakt, de brakke software erachter niet...

Dus nu is het 2de dinsdag van de maand, sprokkelen ze alle crap bij elkaar

Voordeel voor Microsoft:
# ze hebben nu 3 maanden de tijd om patches op elkaar af te stemmen
# omdat patches nu in bulk komen heb je 1 'patch' ipv 40 stuks per maand (perceptie is dan maar 1 patch, ipv 40 brakke stukjes software

Nadeel voor klant: ipv binnen de mogelijkheden van de software direct een patch, moet je nu dus ergens tussen de 3 en 36 maanden wachten voordat je lek gepatched wordt. In de tussentijd ben je overgeleverd aan de 3 en 4 letterige AFK van de amerikaanse overheden... Want die hebben die informatie WEL. En andere misschien ook wel... Alleen JIJ niet... JIJ die je er tegen moet kunnen verdedigen weet van niets... Dus ja, wat schiet je er mee op?

Dat mainstream hackers de informatie (misschien) nog niet hebben? Jij ook niet, dus je kunt je er niet tegen verdedigen..

Om een kromme analogie te maken... Wat nu als covid onder de hoed gehouden werd omdat we maar 1 keer per jaar een vaccin ronde doen? Jij lekker naar oostenrijk en frankrijk op de ski-piste... en daarna na oma op de koffie in het bejaardentehuis... Ja, want elke 2de dinsdag is vroeg genoeg om informatie te delen toch?

Wij hebben ruim 500 servers in beheer. Het is suicide om die allemaal binnen 1 dag te updaten.
Technisch kan het wel, maar er wordt gewerkt met die servers.
Daarom moet er eerst even getest worden in de OTA omgeving.

Gelukkig maar dat er beheerders zijn die eerst alles testen voor ze iets kantoor breed uitrollen...... ;)

Bij windows wel ja want je weet nooit of deze weer opkomt en een reboot is per definitie noodzakelijk door dat waardeloze ontwerp.

Dat is onder windows zeker nodig en nog nog loop je veel risico omdat niet alles hetzelfde is . Software lifecycle mnagement is bij Microsoft nog niet zo ontwikkeld.

Onzin dit geldt ook voor Unix, Linux gebaseerde besturingsystemen. Je update simpelweg niet je infra voor je een test hebt uitgevoerd met alle configuratie soorten de OTAP zoals al eerder aangegeven. Je kan niet zomaar even terug backup zetten op 500 servers dat is een mega operatie en een IT nachtmerie scenario. Ik geeft de beheerder groot gelijk als hij zij zegt dat het suicide is voor je netwerk.

De keren dat ik vendors moet aanschrijven om patches bij te stellen met bug reports zijn wekelijks terugkerende bezigheid. Laatst een patch waarbij een half management dashboard niet meer zichtbaar was door verkeerde uitlijning of eentje waarbij analytics telemetry niet uitkon waardoor er een GDPR overtreding zou plaatsvinden bij implementatie. En ja dat waren linux vendors.

En een beetje professional leest de security advisories en CVSS zodat je risico impact analyse kunt maken voor de infrastructuur per geval. Het is is onzin dat dit betekend dat 0-days niet meteen gepatched worden die hebben als je teminste goed beleid hebt opgesteld uitzondering in de patching momenten staan mits het risico hoog genoeg is.

Verder is het niet alleen Microsoft dat een patch dag per maand organiseert. Microsoft heeft dit type event ook niet bedacht als concept. En het is vaak ter controle van al doorgevoerde patches als bundel niet dat je op die dag ook alle patches nog moet doorvoeren.

Broodje aap verhaal. Het ging ook over updates en niet over een ota straat. Het is al lang bewezen dat Microsoft patches onbetrouwbaar zijn. Het komt regelmatig voor dat een systeem niet meer terugkomt na een reboot. Het internet staat er vol mee. Dat komt o.a omdat Microsoft slecht test en er geen windows dev repositories klaar staan waarmee leveranciers tegen kunnen testen zoals in de open source wereld. Het echte verhaal is dat managers nooit op de hoogte zijn totdat ze een keer de moeite nemen om te zien hoe Linux software life cycle managenent geautomatiseerd is met ongeveer 0 incidenten. De enige vraag is waarom er geen antivirus op draait! Uitleggen dat dat meer security problemen creëert dan oplost geloven ze niet.
Echter, de meeste komen niet eens kijken want dan zien ze dat ze de verkeerde keuze hebben gemaakt met al die resources.
Zo gaat dat bij grote ICT dienstverleners. Bedroevend niveau

Ook Linux heeft zo nu en dan een fuckup. 99,95% van de updates gaan gewoon goed. Soms valt er iets om vanwege dependencies, weliswaar meestal netjes te fixen. Toch heb ik het een keer gehad dat na updates ook een Linux server niet meer startte. De fout was ook reproduceerbaar. (Debian/Ubuntu) deze was na 14 dagen verholpen. De oplossing was niet zo makkelijk kennelijk, omdat Linux fuckups meestal binnen 1-2 dagen zijn verholpen. Gevolg was een herinstallatie van het OS.

Verder ben het zeker met je eens, de kwaliteit van de updates onder Windows zijn na een periode van verbetering weer weggezakt in niveau. Dat had zeker te maken met de verantwoordelijke meneer bij MS die hiervoor verantwoordelijk was en de test methode die nu anders is geworden (inmiddels sinds een aantal jaren).

Toch zijn zero-days wel een dingetje.

Met permissie. Redhat Linux is van een ander niveau dan Ubuntu.