A Microsoft évek alkalmazta azt a módszert, hogy a minden hónap második keddjén esedékes hibajavításokról kiadott egy előzetest, hogy az üzemeltetők, rendszergazdák, felhasználók felkészülhessenek a javításokra. A technikai részleteket ugyan nem közölte, de azt igen, hogy mely termékekben milyen veszélyességű sebezhetőségekre ad ki patchet. Ezeknek az információknak a birtokában lehetett tervezni, priorizálni a hibajavítások telepítését, ami nagyban segítette a kritikus üzleti rendszerek üzemeltetőit, hiszen azoknál a leállításátm újraindítást nem lehet egyik percről a másikra elvégezni.

Ez azonban mostantól megszűnt, pontosabban az előzetes közleményekhez való hozzáférést korlátozta a cég – írta a Biztonságportál.

Közlemények helyett egy üzenet

A holnap esedékes javítások beharangozója helyett a biztonsági szakemberek és üzemeltetők mindössze annyit kaptak a Microsofttól, hogy ezentúl csak az ún. Premier ügyfelek kapnak előzetes információkat. Tehát a jövőben csak azok a szervezetek tudnak a korábbihoz hasonló módon felkészülni a havi hibajavításra, amelyek fizetnek ezért az emelt szintű támogatásért. A továbbiakban ezeket az információkat nem publikálják a teljes felhasználói közösségnek. A Microsoft ANS-hez (Advanced Notification Service) kötődő információkat a jövőben a Premier ügyfelek, illetve a cég biztonsági programjaiban részt vevő szervezetek közvetlenül kapják majd meg,

A döntést Chris Betz, a Microsoft Security Response Center (MSRC) igazgatója, a cég hivatalos blogján azzal magyarázza, hogy sok nagy szervezet már nem használja az ANS-értesítőket olyan formában, ahogy azt korábban tették, mivel optimalizálták a tesztelési és patchelési eljárásaikat. Így aztán az ANS szükségtelenné vált.

A biztonsági szakértők nem örülnek

Betz magyarázata nem hatotta meg a biztonsági szakértőket. A New Context alelnöke, Andrew Storms szerint a Microsoft úgy tett lényegében fizetőssé egy ingyenes szolgáltatást, hogy arra nem volt semmiféle különösebb oka. Storms némi ellentmondást is felfedezni vél Chris Betz magyarázatában: "azt mondják, hogy már senki sem használja, közben pedig pénzt kérnek érte." Storms szerint itt inkább a költségcsökkentés állhat a háttérben.

Stroms véleményét támasztja alá az is, hogy tavaly a Microsoft jelentős átszervezéseket hajtott végre, amely során többek között megszüntette a Trustworthy Computing biztonsági csoportját. A csoportban dolgozó biztonsági kutatók egy része elhagyta a vállalatot, néhányan pedig más részlegekhez kerültek. Novemberben a Mirosoft megszüntette az a webcast is, amely a hibajavító keddekkel foglalkozott, és szakértők bevonásával elemezte a frissítéseket.

Storms szerint már csak azért is meglepő az előzetes közleményekkel kapcsolatos mostani döntés, mert a Microsoft az elmúlt időszakban sok energiát fordított arra, hogy a biztonsági közösségek kedvébe járjon, és hatékonyan támogassa a biztonsági szakemberek munkáját. Az előzetes közlemények bevezetése is ebbe a koncepcióba illeszkedett.

A Rapid7 egyik mérnöke, Ross Barrett szerint a Microsoft azt üzeni a felhasználóknak, hogy bízzanak meg a cégben, mert az mindent javít. Csakhogy ez sokkal inkább azt jelenti, hogy a felhasználók a sötétben tapogatóznak majd a javítások megjelenéséig. És ez értelemszerűen azzal kár majd, hogy a patcheket csak késéssel tudják telepíteni, hiszen a felkészülésre, ütemezésre továbbra is szükség lesz. A Microsoft egy ellenőrzési lehetőséget is kivett ezzel a kezünkből – egészítette ki Barrett véleményét Jon Rudolph, a Core Security vezető mérnöke.

A Microsoft hangsúlyozta: az előzetes közleményekhez való hozzáférés korlátozása a hibajavító keddek eddig megszokott menetét nem befolyásolja: január 13-án a cég minden ügyfele megkapja a a javítócsomagokat.