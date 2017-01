Patchspecialist Chris Goettl van patchsoftwareleverancier Shavlik hoopt op een goede afloop, maar twijfelt een beetje aan de boodschap van Microsoft dat dezelfde informatie wordt gepubliceerd in de nieuwe database waar het bedrijf op overstapt. "We moeten de database in februari eerst maar bekijken voor we kunnen oordelen of Microsoft zich aan zijn woord heeft gehouden", aldus de specialist.

Dé aanpak voor publicatie

Het verdwijnen van de bulletins werd voor het eerst in november aangekondigd, toen Microsoft meldde dat de Patch Tuesday - de maandelijks terugkerende dag dat patches en updates voor Microsoft-software worden uitgegeven - van januari de laatste zou zijn met bulletins. Het nieuwe proces zou van start gaan op Valentijnsdag, de Patch Tuesday van februari.

De bulletins die op het web worden gepubliceerd zijn al sinds 1998 vaste prik in Microsofts disclosurebeleid en wordt al lange tijd gezien door beveiligingsdeskundigen als dé aanpak om patches aan te kondigen.

Naar een database

In het nieuwe systeem wordt patchinformatie gepubliceerd in een doorzoekbare database. Die is sinds november in preview als Microsofts portal 'Security Updates Guide' (SUG). De documenten in deze database gaan over specifieke kwetsbaarheden in een versie van Windows of andere Microsoft-software. Ze kunnen worden gesorteerd en gefilterd op de getroffen producten, de verschijningsdatum van de patch, CVE en het nummer van het informatie-artikel (KB) erover.

Volgens Microsofts Security Repsonse Center is de overstap nodig "omdat klanten hebben gevraagd om een betere manier om update-informatie te benaderen en een simpelere manier om die view aan te passen aan eisen die nodig zijn." Goettl ziet dat anders en zegt dat de wijziging noodzakelijk is geworden met het nieuwe patchbeleid dat met het verschijnen van Windows 10 ontstond.

Nieuw patchbeleid

"Door de discrepantie tussen Windows 10 en alle andere producten kregen klanten een probleem met rapportages en compliance", legt Goettl uit. "Met Windows 10 voerden bedrijven een audit uit op een enkele configuratie, in plaats van zes tot tien verschillende. Maar toen werd legacy-Windows ook op deze manier toegevoegd."

Daar bedoelt hij mee het radicale nieuwe patchbeleid waarop klanten een enkele bundel krijgen om toe te passen, in plaats van losse patches per issue. Je kunt individuele patches niet meer weigeren - iets wat systeembeheerders jaren hebben gedaan als een specifieke patch voor problemen zorgde en het uitrollen ervan andere software parten speelde en de bedrijfsvoering bedreigde.

Bulletins zinloos geworden

Critici gingen direct los op deze updatemethode en hadden niet alleen commentaar op de cumulatieve patchmethode, maar ook op de vage en generieke omschrijving van de kwetsbaarheden die ermee werden opgelost. Die kritiek zwol aan toen Windows 7 en 8.1 afgelopen oktober ook overstapten op deze nieuwe updatemethodologie.

"Bulletins kunnen niet worden gebruikt voor compliance", zegt Goettl. Ze zijn namelijk niet consequent met de alles-of-niets-updates: bulletins beschrijven individuele patches, maar de updates zelf bevatten meerdere patches die niet gescheiden kunnen worden. Die discrepantie maakten bulletins zinloos.

Zelfde niveau

Maar die informatie die in de berichten stond blijft wel waardevol, zo vindt Goettl, zelfs als updates anders worden afgeleverd. Microsoft is het daarmee eens: in een FAQ over de nieuwe database zegt Microsoft dat die informatie vanaf februari van hetzelfde niveau is als de details die in de traditionele bulletins op de webpagina's stonden.

De preview van SUG heeft dat nog niet bereikt. Sommige informatie uit de bulletins van de Patch Tuesday deze maand ontbrak bijvoorbeeld in de gelijke meldingen in de online database. "Er zijn een heleboel mensen die ontevreden zullen zijn als Microsoft dingen negeert over waar er precies al exploits voor zijn", zegt Goettl over de nieuwe database.

Hij is bereid om Microsoft het voordeel van de twijfel te gunnen, maar benadrukt dat Microsoft er echt voor moet zorgen dat de database op de volgende Patch Tuesday de content bevat die we van bulletins gewend zijn. "Op 14 februari moet Microsoft bewijzen dat dit een goede ontwikkeling voor ons is", aldus Goettl.