Digitoday

Valikko

Microsoftin päivitystä ei tarvitse odottaa

Koveneva haavoittuvuustahti on herättänyt tietoturvatalot julkaisemaan päivityksiä ohjelmistojen tietoturva-aukkoihin. Miten näihin kolmansien osapuolten päivityksiin pitäisi suhtautua? Jos Microsoft ei kerran tarjoa päivitystään kuin kerran kuussa, eikö kannattaisi turvautua muiden paikkauksiin?
Yhä useammin tietoturva-aukot tuntuvat olevan nollapäivän haavoittuvuuksia, eivätkä ohjelmistovalmistajat saa päivityksiään aina riittävän nopeasti. Muiden ohjelmistotalojen tavoin Microsoft ei ole järin innostunut muiden tekemistä päivityksistä sen ohjelmiin, eikä se suosittele niiden asentamista.

Päivityksiä Microsoftin ja muiden valmistajien ohjelmiin on tarjonnut muun muassa tietoturvatutkijoista koostuva, nollapäivän haavoittuvuuksiin erikoistunut ZERT-ryhmä. ZERT on muutamaan otteeseen osoittanut olevansa nopea vaihtoehto Microsoftin kuukausittaisille pakettipäivityksille.

Myös tanskalainen tietoturvayhtiö Secunia on tehnyt päivitystyötä, muun muassa syyskuussa löydettyyn Windowsin Shell-haavoittuvuuteen. Muutkin tietoturvayhtiöt ovat lähteneet mukaan päivitystoimintaan. Secunian lisäksi ainakin eEye ja Sourcefire tarjoavat ilmaisia päivityspalveluja.

Tilanne on kiusallinen Microsoftille, sillä sen tuotteista löydetään jatkuvasti haavoittuvuuksia. Lokakuussa yhtiö rikkoi ennätyksensä paikkaamalla 26 haavoittuvuutta päivityspaketissaan. Uusi Internet Explorer 7 -selain hädin tuskin ehti julkisuuteen, kun sekin jo osoitettiin haavoittuvaksi.

Haavoittuvuuksia toki löydetään muidenkin valmistajien tuotteista, mutta Microsoft on tässä suhteessa erityisen tarkkailun alaisena; yhtiön tuotteita käytetään niin paljon, että yhden haavoittuvuuden hyväksikäyttökoodilla voi saada nopeasti aikaan mittavaa vahinkoa.

Samasta syystä Microsoftin käyttöjärjestelmät ja ohjelmat myös muodostavat houkuttavan kokoisen levityskanavan haittaohjelmille.

Aikataululla vai ilman?

Haavoittuvuuksia julkaistaan yhä useammin välittömästi tai pian sen jälkeen, kun Microsoft on julkaissut kuukausittaisen päivityspakettinsa.

Asetelma vaikuttaa laskelmoidulta; tällä tavoin saadaan toisaalta maksimoiduksi haavoittuvuuden huomioarvo, toisaalta minimoiduksi Microsoftin mahdollisuudet paikata aukko. Kun haavoittuvuus julkaistaan nopeasti edellisen päivityksen jälkeen, monen järjestelmä on vielä päivittämättä ja siksi haavoittuva.

Itsehän Microsoft on päivityspolitiikkansa valinnut. Ohjelmistojätin ajatuksena on sen omien sanojen mukaan ollut yksinkertaistaa päivitysrumbaa ja parantaa päivitysten laatua. Kun päivitykset on aikataulutettu, niihin ehditään paneutua syvällisemmin, mikä toivottavasti näkyy hyvin toimivina päivityksinä.

Microsoft on sanonut, että nimenomaan sen asiakkaat ovat halunneet kuukausipäivityksen. Kun asiakkaat tietävät, koska päivityksiä tulee seuraavan kerran, heidän on helpompaa suunnitella omat toimenpiteensä päivitysten suhteen. Päivityspaketti myös tarjoaa ainakin teoriassa kätevän tavan tarkistaa ja saada tärkeimmät päivitykset kootusti.

Microsoftin päivitysjärjestelmä ei kuitenkaan ole aukoton. Tiistaina julkaistuun joulukuun päivityspakettiin lipsahti vahingossa keskeneräinen päivitys. Yhtiö joutui pyytämään asiakkaitaan poistamaan päivityksen.

Sitä mukaa kuin nollapäivän haavoittuvuudet yleistyvät, lisääntyvät puheet siitä, että Microsoftin on alettava julkaista yhä enemmän tärkeitä päivityksiä laatimansa aikataulun ulkopuolella.

Testaaminen vie aikaa

Tietoturvapäivitykset vaativat testaamista, ja se taas vie aikaa. Mitä enemmän päivitystä ehditään testata ennen kuin se julkaistaan, sitä todennäköisempää on, että se toimii niin kuin sen on tarkoitus toimia – ja vielä mitä erilaisimmissa ohjelmistoympäristöissä.

Siksi kolmansien osapuolten päivitykset eivät ehkä ole ainakaan lopullinen ratkaisu.

ZERT kehottaa sekin asentamaan ohjelmiston valmistajan tekemän päivityksen heti, kun sellainen on julkaistu. ZERTin mukaan päivitys kuitenkin tarvitaan usein nopeasti, ja silloin valmistajaa ei voi jäädä odottelemaan.

Väliaikaiseksi ratkaisuksi kolmannen osapuolen päivitys voi olla ainoa vaihtoehto, ellei Microsoft saa tehostetuksi omien päivitystensä testaamista ja julkaisemista.

Loppukäyttäjän mietittäväksi jää, päivittääkö heti jonkun muun tekemällä korjauksella – mikä Microsoftin mukaan on aina riski – vai odotellako Microsoftin omaa korjausta pahimmassa tapauksessa kuukauden. Kuukausi on kovin pitkä aika tietoturvamaailmassa.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Yhden hitin eläketurva – tässä on joululaulu, joka tuo kirjoittajilleen edelleen 590 000 euron vuosittaiset rojaltitulot

    2. 2

      Simpanssinaamainen kaahari piinasi poliisia Ruotsissa

    3. 3

      Europolin joulukalenterissa tänään Suomessa etsintäkuulutettu rikollinen – katso kuka kalenteriluukusta paljastuu

    4. 4

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    5. 5

      Saara Aallon kilpakumppanit pahoissa vaikeuksissa – tuleeko finaalilähetyksestä katastrofi?

    6. 6

      Vuoden oudoin oikeusjuttu? Moderni perhe -tähden Sofia Vergaran omat hedelmöittyneet IVF-alkiot haastoivat tämän oikeuteen

    7. 7

      Moni kärsii tietämättään kakkostyypin diabeteksen esiasteesta – lisää äkkikuoleman vaaraa

    8. 8

      Riistakamera nappasi kuvan harvinaisesta vieraasta sotilastukikohdassa Arizonassa

    9. 9

      Näin ylivoimainen Hannu Manninen oli avauskilpailussaan – sai heti mieluisan palkinnon

    10. 10

      Viestintäministeri Anne Berner, onko postin perustehtävä uhattuna? ”Postin on vastattava vahingosta”

    11. Näytä lisää
    1. 1

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    2. 2

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    3. 3

      Saara Aallon kilpakumppanit pahoissa vaikeuksissa – tuleeko finaalilähetyksestä katastrofi?

    4. 4

      Bunkkeriin seksiorjaksi teljetty ruotsalaisnainen kirjoitti kirjan painajaisestaan – ”Yritin uskotella itselleni, ettei tämä voi olla totta”

    5. 5

      Sekava mies uhkasi vastaantulijaa Porvoossa – nyrkkeilytaustainen uhattu ei päästänyt karkuun

    6. 6

      Susanna, 33, vei Lumian huoltoon – uuteen puhelimeen alkoi ilmestyä outoja kuvia

    7. 7

      Brittimedia: Saara Aalto laulaa finaalissa kaikkien aikojen Queen-klassikon yhdessä supertähti Adam Lambertin kanssa

    8. 8

      Raivostunut Matti Nykänen perui keikkansa Kanarialla – ravintola joutui maksumieheksi: ”V**ut minä mitään keikkaa vedä”

    9. 9

      Katin ja Mikon loppumaton tuska – tytär ei elä enää pitkään: ”Lapsi jota on niin kovasti toivonut, otetaan pois”

    10. 10

      Katso, mitä tapahtui asuntolainan hinnalle – ”Pankin vaihtajia on liikkeellä”

    11. Näytä lisää
    1. 1

      Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

    2. 2

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    3. 3

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    4. 4

      Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

    5. 5

      Perhesyyt eivät painaneet? Mika Salolla teoria Nico Rosbergin lopettamisesta: ”Kukaan ei tajua sitä…”

    6. 6

      Todelliset syyt, joiden vuoksi naiset voihkivat seksin aikana

    7. 7

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    8. 8

      Linnan jatkoilla nousi hässäkkä – Heikki Lampela ja Hanna Kärpänen sisään vahvassa juhlatunnelmassa: ”Haluan seikkailuja”

    9. 9

      Raivostunut Matti Nykänen perui keikkansa Kanarialla – ravintola joutui maksumieheksi: ”V**ut minä mitään keikkaa vedä”

    10. 10

      Nainen teki ”pettämistestin” poikaystävälleen – lopputulos ei ilahduttanut, videolla jo 6 miljoonaa katselukertaa

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Yhden hitin eläketurva – tässä on joululaulu, joka tuo kirjoittajilleen edelleen 590 000 euron vuosittaiset rojaltitulot

    2. 2

      Simpanssinaamainen kaahari piinasi poliisia Ruotsissa

    3. 3

      Europolin joulukalenterissa tänään Suomessa etsintäkuulutettu rikollinen – katso kuka kalenteriluukusta paljastuu

    4. 4

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    5. 5

      Saara Aallon kilpakumppanit pahoissa vaikeuksissa – tuleeko finaalilähetyksestä katastrofi?

    6. Näytä lisää
    1. 1

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    2. 2

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    3. 3

      Saara Aallon kilpakumppanit pahoissa vaikeuksissa – tuleeko finaalilähetyksestä katastrofi?

    4. 4

      Bunkkeriin seksiorjaksi teljetty ruotsalaisnainen kirjoitti kirjan painajaisestaan – ”Yritin uskotella itselleni, ettei tämä voi olla totta”

    5. 5

      Sekava mies uhkasi vastaantulijaa Porvoossa – nyrkkeilytaustainen uhattu ei päästänyt karkuun

    6. Näytä lisää
    1. 1

      Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

    2. 2

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    3. 3

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    4. 4

      Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

    5. 5

      Perhesyyt eivät painaneet? Mika Salolla teoria Nico Rosbergin lopettamisesta: ”Kukaan ei tajua sitä…”

    6. Näytä lisää