Soron kívüli biztonsági frissítés

imageA most megjelenő, soron kívüli Internet Explorer biztonsági frissítéssel kapcsolatban megnéztem, hogyan alakult az elmúlt évek során a soron kívüli frissítések száma. A táblázat forrása a Microsoft Security Intelligence Report 7. Úgy tűnik, hogy az ilyen helyzet nem túl gyakori: az elmúlt öt évben összesen ötször fordult elő.

A HUP-on többször is előjött témaként a Microsoft szoftvereiben található sérülékenységek számossága, súlyossága, no meg főleg az a tévhit, hogy a Microsoft nem reagál rá időben. Ezért aztán összegyűjtöttem, hogy milyen tanulmányok születtek az utóbbi években a “Days of Risk” témakörében. A “Days of Risk” azt az időt jelent, amikor már nyilvánosságra kerül egy sérülékenység, de még nem készült el a hibát javító szoftvercsomag,

Évekkel ezelőtt készült a Forrester tanulmánya “Forrester Research: Is Linux More Secure than Windows” címmel. Ez ma is letölthető, de meglehetősen borsos ára van. A belőle készült összefoglalót a EWeek tette közzé a “Linux vs Windows Which is More Secure”. Ezt a tanulmányt nem a Microsoft készítette, nem is sponzorálta, a Forrester neve pedig fémjelzi a leírtak komolyságát.

Jeff Jones – Microsoft Strategy Director a Microsoft Security Technology szervezetében – meglehetősen sokat foglalkozott a “Days of Risk” témakörével:

Ezeknek a tanulmányok az adatforrásai bárki által elérhető adatbázisok (cve.mitre.com, Secunia, nvd.nist.gov). Jeff az adatok gyűjtésével és elemzésével kapcsolatos nehézségekről is ír egyik blogjában Scrubbing the Source Data – Part 1 – NVD (National Vulnerability Database) címmel, nagyon tanulságos. Különösen az első bekezdés érdekes, idézem: “When I publish my analyses, I actively encourage folks to challenge my results, challenge my methodology, perform their own analysis and generally just keep me honest.  Sadly, while many may be willing to cast doubts on the results, few follow up with any analysis on their own.”

Végezetül  érdemes még két fontos tanulmányt felsorolni. Ezek ugyan nem tartalmaznak DoR információkat, de egyéb vonatkozásban rengeteg érdekes és meglepő adattal szolgálhatnak:

Sajnálom, hogy a Windows 7-ről még nincs olyan jelentés, mint a Vistáról készült 90 napos, 180 napos és egyéves korában. Remélem hamarosan elkészítik.

5 Responses to Soron kívüli biztonsági frissítés

  1. Gábor says:

    Erdekes kerdes az is, hogy sok sebezhetosegrol derul ki az, hogy a Microsoft mar honapok ota tud rola, megsem tortenik semmi. Az apropoul szolgalo hibarol is kiderult, hogy szeptember ota ismert a ceg elott. Nem hinnem, hogy annyira tiszta itt minden.

  2. Tamas says:

    Akik értenek hozzá, többnyire azt mondják, egy ez benne van a pakliban. Amit én hibának látok, az az, hogy a Microsoft nem tesz eleget saját működésének átláthatóvá tételére. Sokat tesz, de nem eleget. Ezért lehetett ekkora a felháborodás. Egyébként az ilyen eseteknek mindig van lekövetése. Nem csodálkoznék, ha ezzel kapcsolatban levonná a Microsoft a következtetéseket. Le szokta. Biztonsági szempontból sajnálom, hogy az XP 2014-ig támogatott lesz. Egy "secure by design" koncepció előtti termékkel sokra nem megyünk.

  3. Gábor says:

    Itt szo nincs az atlathatova tetelrol. Egyszeruen hamarabb kellene szolni, hogy bocs, fiuk, van egy ilyen bug az IE-be, legyetek ovatosak. Es akkor a virusirto/tuzfalgyarto cegek hamarabb tudnanak reagalni. Jelenleg azt latom, hogy barmi hiba van, azt lehetoseg szerint eltussoljak, mert "security by design", vagyis ebbe nem lehet biztonsagi hiba. Nagyon jo lenne, ha a Microsoft vegre ilyen teren is valtana, sot inkabb ilyen teren valtana.Szoval a security by design koncepcioval itt sokra nem megyunk.A masik, hogy meg mindig nem tudok arrol, hogy lenne egy olyan felulet, mint a nyiltforrasu rendszerek bugzillaja, ahol jelenteni lehetne a kulonbozo (akar security) hibakat. Jelenleg az van, hogy emberek forumokon kinlodnak, honapokig varnak valaszra, aztan vagy megoldodik vagy nem. Nincs kommunikacio egyszeruen. Ez sajnalatos.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: