Пересмотренный вторник исправлений Microsoft: к лучшему или к худшему?
Microsoft пересматривает свой десятилетний процесс «Вторник исправлений» для обновления старых операционных систем Windows.
Вместо выпуска отдельных исправлений безопасности для этих систем — Windows 7, Windows 8, Windows Server 2008 и Windows Server 2012 — Microsoft начнет объединять исправления в одно обновление, известное как «накопительный пакет».
Это изменение призвано упростить процесс установки исправлений для этих операционных систем, повышая вероятность того, что ИТ-специалисты исправят дыры в безопасности этих систем. Это должно предотвратить ряд потенциальных проблем с выборочным исправлением компьютеров, включая ошибки синхронизации и зависимостей и более низкое качество обновлений, повышенную сложность тестирования и время сканирования, а также трудности с поиском и применением правильных исправлений.
В сообщении в блоге Натан Мерсер из Microsoft сказал, что накопительная модель обеспечит более согласованный процесс установки исправлений и упростит работу, поскольку все поддерживаемые версии Windows будут следовать аналогичной модели обновлений. «Новая накопительная модель дает вам меньше обновлений для управления, большую предсказуемость и более качественные обновления», — сказал Мерсер.
Не все убеждены, что пересмотренный процесс установки исправлений облегчит жизнь ИТ-специалистам. Крис Геттл, менеджер по продукту в компании по обеспечению безопасности Shavlik, заявил в своем блоге, что новый процесс может привести к проблемам с возможностями приложений и повышенным рискам, связанным с исключениями.
«Компаниям придется проводить более тщательное тестирование совместимости приложений, чтобы гарантировать, что все… не сломается, когда эти более крупные пакетные обновления безопасности будут загружены в системы. В случае конфликта поставщики, конфликтующие с обновлениями, будут вынуждены решать проблемы. Там, где компании могли принять исключение для одной или двух уязвимостей, исключение, из-за которого 20 уязвимостей остаются неисправленными, будет иметь совершенно другую реакцию», — написал Геттл.
Microsoft надеется, что изменение процесса установки исправлений во вторник решит проблему отсутствия исправлений на предприятиях старых операционных систем Windows.
Сомнительное отличие Windows
Согласно последнему отчету об обновлениях уязвимостей, подготовленному подразделением Secunia Research компании Flexera Software, четыре версии Windows входят в число 20 наиболее уязвимых корпоративных программных продуктов, что делает Microsoft поставщиком корпоративного программного обеспечения с наибольшим количеством уязвимостей.
Четыре продукта Microsoft, попавшие в топ-20 наиболее уязвимых корпоративных программ, — это Windows 10, Windows Server 2012, Windows 8 и Windows RT.
Всего в топ-20 Secunia было 2686 уязвимостей. Чтобы составить список топ-20, Secunia изучила более 50 000 корпоративных программных продуктов, зарегистрированных в базе данных уязвимостей Flexera.
«Плохая новость заключается в том, что общий уровень уязвимостей остается высоким, особенно в отношении операционных систем, что подчеркивает необходимость для пользователей усердно устанавливать исправления для своих операционных систем», — отметил Каспер Линдгаард, директор по исследованиям Secunia в Flexera Software.
В то время как Microsoft была главным нарушителем с точки зрения поставщиков, больничная информационная система, созданная Philips, имела наибольшее количество уязвимостей среди всех корпоративных программ, рассмотренных в отчете. Только в этой системе Secunia обнаружила 272 уязвимости.
Согласно отчету, вторым по количеству уязвимостей продуктом стал сервер печати Xerox FreeFlow Print Server, который набрал 213 уязвимостей.
Другими поставщиками, чьи продукты вошли в топ-20 наиболее уязвимых корпоративных программ, были Adobe, Oracle, Apple, Google, IBM, F5, HP и Forcepoint.
Adobe Reader, Acrobat и Flash Player вошли в список 20 лучших, как и Apple Macintosh OS X и мобильная операционная система iOS, множество продуктов IBM, таких как SmartCloud Provisioning, Oracle E-Business Suite и Solaris 11, F5 BIG-IQ и линейка продуктов BIG-IP и Google Chrome.
Oracle не пророчествует о безопасности
Корпоративные программные продукты Oracle также не лишены уязвимостей.
В своем последнем ежеквартальном критическом обновлении, выпущенном в июле, Oracle устранила ошеломляющие 276 уязвимостей в своей линейке продуктов, включая 159 уязвимостей, которые злоумышленник может использовать удаленно.
А в сентябре исследователь безопасности Дэвид Галунски обнаружил критическую уязвимость в Oracle MySQL, которая может позволить злоумышленнику использовать уязвимую базу данных MySQL, выполнить произвольный код и скомпрометировать сервер, на котором запущена база данных.
Галунски проинформировал Oracle об уязвимости в июле, но после того, как в течение 40 дней от компании ничего не было получено, он решил раскрыть то, что он обнаружил, чтобы предупредить пользователей об уязвимости до того, как поставщик программного обеспечения выпустит следующее критическое обновление в октябре.
Кроме того, программное обеспечение Java было занозой в безопасности Oracle в течение многих лет, с тех пор как гигант корпоративного программного обеспечения приобрел разработчика Java Sun Microsystems в 2010 году. Фактически, Secunia в прошлом году назвала Java самой большой угрозой безопасности для компьютеров в США, как сообщает CSO. журнал.
Secunia, которая выпустила отчет до того, как была приобретена Flexera, сообщила в отчете, что программное обеспечение Java было установлено почти на двух третях компьютеров и имело более 100 уязвимостей, но не обновлялось регулярно почти половиной его пользователей.
Федералам не нравится Java-джайв Oracle
Низкая производительность программного обеспечения Java с точки зрения безопасности привела к проблемам Oracle с федералами. В декабре Федеральная торговая комиссия объявила, что она достигла соглашения с Oracle по обвинениям FTC в том, что она обманывала клиентов в отношении преимуществ безопасности, предоставляемых обновлениями ее Java Platform Standard Edition, которая установлена более чем на 850 миллионах компьютеров.
Хотя FTC не оштрафовала Oracle, компании было приказано предоставить пользователям возможность легко удалять небезопасные старые версии Java. По данным FTC, Oracle не проинформировала клиентов во время процесса обновления безопасности для Java о том, что обновление удаляет только самую последнюю версию программного обеспечения, а не более ранние версии, которые могут быть уязвимы для вредоносных программ и фишинговых атак.
Основываясь на документах, полученных FTC, Oracle знала о проблеме обновления еще в 2011 году. В одном документе Oracle говорилось, что «механизм обновления Java недостаточно агрессивен или просто не работает», и признавалось, что хакеры нацеливались на предыдущие небезопасные версии программного обеспечения Java..
Федеральная торговая комиссия заявила, что отказ Oracle раскрыть ограничения безопасности Java представляет собой обманную практику, нарушающую федеральный закон.
К сожалению, безопасность программного обеспечения на предприятиях не улучшается. Согласно отчету об обновлениях уязвимостей, Secunia не видит сокращения числа уязвимостей в корпоративном программном обеспечении по сравнению с предыдущими отчетами. Фактически, в предыдущем отчете было обнаружено 1768 уязвимостей в 20 самых популярных продуктах. Во всяком случае, проблема плохой практики установки исправлений только усугубляется, и Microsoft надеется решить эту проблему с помощью пересмотренного процесса установки исправлений во вторник.