Szerző: Gálffy Csaba

2015. január 9. 14:38

Nincs több előzetes értesítés patch-kedd előtt

Minden érdemi magyarázat nélkül eltörölte a patch-kedd előtt hagyományosan kiadott értesítéseket a Microsoft. Az IT-biztonságért felelős szakembereknek ezentúl nem lesz lehetőségük időben felkészülni a frissítések tesztelésére - a cég hárít és "megváltozott igényekre" hivatkozik.

Az elmúlt évtizedben hagyományosan minden hónap második keddjén adta ki a Microsoft a termékeihez szánt biztonsági és egyéb frissítéseket. A szakmabeliek számára pedig az ezt megelőző csütörtökön érkezett egy előzetes értesítés, amely a sérülékenységek számát, súlyosságát és az érintett szoftverek listáját is tartalmazta. A jövő heti frissítések előtt ma lett volna esedékes az értesítő kiadása - ezt azonban a Microsoft nem tette elérhetővé nyilvánosan.

A cég közlése szerint a jövőben az előzetes információkhoz (ANS - advance notification service) csak a prémium támogatási fokozatért fizető ügyfelek férnek majd hozzá. A tegnap este közzétett blogposztban Chris Betz, a Microsoft Security Response Center (MSRC) igazgatója közölte, hogy a Premier fokozatú ügyfelek számára közvetlenül, a TAM-on (Technical Account Manager) keresztül eljuttatja a cég a jövőben az információt, széles körben elérhetővé azonban nem teszi. Betz indoklása szerint az ANS már nem hatékony eszköze az információk átadásának - az eredetileg megcélzott nagyvállalati ügyfelek már más csatornákon informálódnak, a kisebb ügyfelek pedig általában nem tervezik meg előre a frissítések telepítését, hanem rábízzák magukat a Windows Update automatizált munkájára.

myBulletins Dashboard - ezzel kell beérni

A Computerworld.com által megkérdezett IT-biztonsági szakértők nem fogták magukat vissza a lépés bírálatánál. "Ez egy támadás az IT és az IT-biztonsággal foglakozó csapatok ellen" - fogalmazott a Rapid7 igazgatója, Ross Barrett. "Ez a változtatás, minden előzetes értesítés nélkül semmibe veszi annak hatását a való világra. Őszintén, ez sokkoló"- mondta Barrett. "Ingyenesről fizetősre váltott az ANS, minden értelmezhető indok nélkül" - nyilatkozta az amerikai lapnak Andrew Storms, a Context biztonsági tanácsadó alelnöke.

Az ANS lehetővé tette az IT-szakemberek számára, hogy néhány nap alatt felépítsenek egy tesztkörnyezetet, amelyen a kedden érkező frissítések hatását gyorsan letesztelhették és meggyőződhettek arról, hogy az nem okoz zavart a vállalati rendszerekben. Ez az utóbbi időszakban különösen fontossá vált, a Microsoft biztonsági frissítései közé többször is bekeveredett hibás biztonsági javítás, amely adott esetben használhatatlanná tette a frissített szoftvert - decemberben például két frissítést is visszavonni kényszerült a szoftverház a nem kielégítő tesztelés miatt.

A Microsoft a jövőben az IT-szakemberek számára az idén indult myBulletins szolgáltatását ajánlja, amellyel testre szabott biztonsági értesítéseket kérhetnek. A myBulletins esetében lehetőség van azokra a szoftverekre szűkíteni, amelyeket az ügyfél valóban futtat, így a Microsoft szerint áttekinthetőbb jelentés jön létre. A jól használható grafikus felületről azonban hiányzik a frissítéseket megelőző, előzetes értesítés, illetve az eddig kiadott úgynevezett security advisory (a jövőbeni változásokra figyelmeztető jelzés) is hiányzik innen.

a címlapról