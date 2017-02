Patchdeskundigen hebben moeite met deze plotselinge beslissing en wijzen erop dat er bekende kwetsbaarheden zijn die nu een maand ongepatcht blijven en dat ook nog eens de planning van IT-afdelingen in de war wordt geschopt. "Ik schrok enorm", zegt Chris Goettl, manager van patchbeheerder Ivanti (voorheen bekend als Shavlik). "Ik verwachtte echt dat de patches een week werden uitgesteld."

Uitstel wordt afstel

Op dinsdag kondigde Microsoft slechts uren voordat de updates zouden verschijnen een vertraging aan. "We ontdekten een issue op het allerlaatste moment dat een impact zou hebben op sommige klanten en niet op tijd was opgelost voor onze geplande updates vandaag", schreef het bedrijf. De logische gevolgtrekking daarvan was dat de beveiligingspatches zouden volgen zodra dit issue was opgelost.

Maar op woensdag volgde een nieuwe verklaring van het bedrijf: "We zullen updates leveren als onderdeel van de geplande Update Tuesday op 14 maart 2017." (Microsoft verwijst zelf altijd naar Update Tuesday voor de patchronde die in de volksmond bekend staat als Patch Tuesday.)

Ongehoorde stap

Een maand overslaan is nog niet eerder gebeurd. Microsoft heeft op vier Patch Tuesdays sinds de eerste in 2003 updates overgeslagen (het recentste voorbeeld hiervan was in maart 2007) maar in die gevallen waren er simpelweg geen patches voorbereid. Het is nog nooit voorgekomen dat er duidelijk patches klaar stonden om uitgerold te worden en dat vervolgens de ronde wordt overgeslagen.

"Dit is niet zoals eerder, toen het niet verschijnen van updates betekende dat er niets af was", vertelt Susan Bradley van mailinglist PatchManagement.org, waar IT'ers updates met elkaar bespreken. "De patches waren klaar. Ze zijn simpelweg vanwege een onbekende reden niet uitgerold."

Patchproblemen

Microsoft heeft (nog) niet aangegeven waarom er vertraging is of waarom er eerst uitstel was, waarna de patches volledig werden geschrapt. Bij gebrek aan verklaring wordt er druk gespeculeerd. Sommige mensen vermoeden dat een enkele slechte patch de cumulatieve bundel de nek om draaide, maar Goettl vindt dat geen logische verklaring.

Hij wijst erop dat Office-patches los van de Windows-patches worden afgeleverd. Als een enkele Windows-patch voor kuren had gezorgd, had Microsoft die update achtergehouden en wel de updates voor Office uitgegeven, denkt Goettl.

Het uitblijven van de patches begint een dringende zaak te worden nu Google een Windows-kwetsbaarheid die deze maand gerepareerd zou worden heeft gepubliceerd. Project Zero van Google dwingt bedrijven wel vaker tot het werk maken van patches door een strak disclosurebeleid te volgen van 90 dagen waarin een lek gepatcht moet zijn; daarna volgt openbaring.

Hierna: Een zeroday en andere openbaar bekende gaten opent de deur voor Windows-exploits die wekenlang ongedicht blijven.