Idén kritikus helyzetet teremthet, hogy a legnagyobb szoftvergyártók frissítései összetorlódnak. Egyre több nagy szoftvergyártó áll át ugyanis arra a gyakorlatra, amit a Microsoft követ 2003. óta, tudniillik hogy keddi napra időzíti a biztonsági frissítéseinek kiadását.

Idén három olyan nap is lesz, amikor legalább hat nagy szoftvergyártó frissítései csúsznak egymásra. A helyzet kezelésére azonban lehet tapasztalata a vállalatoknak, ugyanis 2014-ben már volt hasonló helyzet.

Ezért okoz a frissítések összecsúszása problémát

A biztonsági frissítéseknek az összehangolt – és előre közölt ütemterv szerinti – kiadása egyértelműen a felhasználók biztonságát szolgálja. Korábban ugyanis előfordult olyan is, hogy egy hibát például a Google pár nappal azelőtt hozott nyilvánosságra, hogy arra a Microsoft kiadott volna javítást, ami veszélybe sodorhatta a redmondi cég ügyfeleit. Az ütemezés azonban ezt – ha csak részlegesen is – kiküszöböli. Hoz azonban más problémát: a 2014-es eset megmutatta, hogy ha nagyon sok frissítés csúszik össze, akkor az egyből biztonsági problémává is válik.

2014. október 14-én egyszerre jelent meg nyolc olyan hibajavító csomag, ami nagy valószínűséggel minden nagyvállalatot érintett. A Microsoft 25, az Oracle 117, az SAP 12 biztonsági réshez adott ki javítást. Emellett kiadott javítást a Mozilla (8 patch), az Adobe (6), a Cisco (1), javították a Linux kernelt (3 patch), a Chrome OS-t (1) és a Google Chrome-ot (1) is. Ez a kör szinte teljesen lefedi egy komolyabb szervezet minden informatikai eszközét.

És akkor még nem említettük a rendkívüli frissítéseket. 2014 őszén például a nyolc csomag mellé érkezett több mint 250 rendkívüli közlemény. Ugyanazon a napon hozták nyilvánosságra az ún. POODLE-sebezhetőség javítását, amely ezernyi gyártót és terméket érintett.

Ezeknek a javításoknak a telepítése hosszadalmas procedúra, a csomagokat ugyanis telepítés előtt tesztelni kell. Volt már rá példa, hogy javító csomag okozott súlyos problémákat. 2018-ban például a Windows 10 nagy őszi frissítését vissza is kellett vonni, mert telepítésének bizonyos esetekben visszaállíthatatlan adatvesztés lett a következménye. Másrészt azt is meg kell vizsgálni, hogy az egyes szoftverek frissítései befolyásolják-e más szoftverek működését.

Január 14-én indul az őrület

Mint azt a RiskBased Security biztonsági cég összegyűjtötte, idén három olyan alkalom is lesz, amire tervekkel és külön erőforrásokkal is érdemes lesz készülniük a vállalatok biztonsági felelőseinek:

január 14-ére,

április 14-ére és

július 14-ére.

Ezen a három napon ugyanis hat jelentős szoftvergyártó – a Microsoft, az Oracle, az Adobe, az SAP, a Siemens és a Schneider Electric – frissítései biztosan megjelennek (a Siemens főleg a gyártóiparnak, a Schneider Electric pedig például adatközpont-menedzsmenthez fejleszt kulcsfontosságú szoftvereket). Ugyanakkor elképzelhető, hogy melléjük beszáll a Google, az Apple, a Mozilla, az Intel, a Cisco, az F5 és a Juniper is.

Ez a szakértők szerint egyértelműen növeli a vállalatok biztonsági kockázatait, mivel a frissítéseknek a telepítése heteket vehet igénybe. A kiberbűnözők viszont ennyi idő alatt könnyedén visszafejthetik a nyilvánosságra hozott hibákat, és elkészíthetik az azokat kihasználó exploitjaikat. A RiskBased Security szerint a helyzet kezelésén sokat segíthet, ha a vállalatok felkészülnek például egy alapos kockázatelemzéssel erre a három dátumra. Így ugyanis priorizálhatók a teendők, és a üzletkritikus rendszerektől haladva lehet a frissítéseket telepíteni.