Digitoday

Valikko

Microsoftin päivitystä ei tarvitse odottaa

Koveneva haavoittuvuustahti on herättänyt tietoturvatalot julkaisemaan päivityksiä ohjelmistojen tietoturva-aukkoihin. Miten näihin kolmansien osapuolten päivityksiin pitäisi suhtautua? Jos Microsoft ei kerran tarjoa päivitystään kuin kerran kuussa, eikö kannattaisi turvautua muiden paikkauksiin?
Yhä useammin tietoturva-aukot tuntuvat olevan nollapäivän haavoittuvuuksia, eivätkä ohjelmistovalmistajat saa päivityksiään aina riittävän nopeasti. Muiden ohjelmistotalojen tavoin Microsoft ei ole järin innostunut muiden tekemistä päivityksistä sen ohjelmiin, eikä se suosittele niiden asentamista.

Päivityksiä Microsoftin ja muiden valmistajien ohjelmiin on tarjonnut muun muassa tietoturvatutkijoista koostuva, nollapäivän haavoittuvuuksiin erikoistunut ZERT-ryhmä. ZERT on muutamaan otteeseen osoittanut olevansa nopea vaihtoehto Microsoftin kuukausittaisille pakettipäivityksille.

Myös tanskalainen tietoturvayhtiö Secunia on tehnyt päivitystyötä, muun muassa syyskuussa löydettyyn Windowsin Shell-haavoittuvuuteen. Muutkin tietoturvayhtiöt ovat lähteneet mukaan päivitystoimintaan. Secunian lisäksi ainakin eEye ja Sourcefire tarjoavat ilmaisia päivityspalveluja.

Tilanne on kiusallinen Microsoftille, sillä sen tuotteista löydetään jatkuvasti haavoittuvuuksia. Lokakuussa yhtiö rikkoi ennätyksensä paikkaamalla 26 haavoittuvuutta päivityspaketissaan. Uusi Internet Explorer 7 -selain hädin tuskin ehti julkisuuteen, kun sekin jo osoitettiin haavoittuvaksi.

Haavoittuvuuksia toki löydetään muidenkin valmistajien tuotteista, mutta Microsoft on tässä suhteessa erityisen tarkkailun alaisena; yhtiön tuotteita käytetään niin paljon, että yhden haavoittuvuuden hyväksikäyttökoodilla voi saada nopeasti aikaan mittavaa vahinkoa.

Samasta syystä Microsoftin käyttöjärjestelmät ja ohjelmat myös muodostavat houkuttavan kokoisen levityskanavan haittaohjelmille.

Aikataululla vai ilman?

Haavoittuvuuksia julkaistaan yhä useammin välittömästi tai pian sen jälkeen, kun Microsoft on julkaissut kuukausittaisen päivityspakettinsa.

Asetelma vaikuttaa laskelmoidulta; tällä tavoin saadaan toisaalta maksimoiduksi haavoittuvuuden huomioarvo, toisaalta minimoiduksi Microsoftin mahdollisuudet paikata aukko. Kun haavoittuvuus julkaistaan nopeasti edellisen päivityksen jälkeen, monen järjestelmä on vielä päivittämättä ja siksi haavoittuva.

Itsehän Microsoft on päivityspolitiikkansa valinnut. Ohjelmistojätin ajatuksena on sen omien sanojen mukaan ollut yksinkertaistaa päivitysrumbaa ja parantaa päivitysten laatua. Kun päivitykset on aikataulutettu, niihin ehditään paneutua syvällisemmin, mikä toivottavasti näkyy hyvin toimivina päivityksinä.

Microsoft on sanonut, että nimenomaan sen asiakkaat ovat halunneet kuukausipäivityksen. Kun asiakkaat tietävät, koska päivityksiä tulee seuraavan kerran, heidän on helpompaa suunnitella omat toimenpiteensä päivitysten suhteen. Päivityspaketti myös tarjoaa ainakin teoriassa kätevän tavan tarkistaa ja saada tärkeimmät päivitykset kootusti.

Microsoftin päivitysjärjestelmä ei kuitenkaan ole aukoton. Tiistaina julkaistuun joulukuun päivityspakettiin lipsahti vahingossa keskeneräinen päivitys. Yhtiö joutui pyytämään asiakkaitaan poistamaan päivityksen.

Sitä mukaa kuin nollapäivän haavoittuvuudet yleistyvät, lisääntyvät puheet siitä, että Microsoftin on alettava julkaista yhä enemmän tärkeitä päivityksiä laatimansa aikataulun ulkopuolella.

Testaaminen vie aikaa

Tietoturvapäivitykset vaativat testaamista, ja se taas vie aikaa. Mitä enemmän päivitystä ehditään testata ennen kuin se julkaistaan, sitä todennäköisempää on, että se toimii niin kuin sen on tarkoitus toimia – ja vielä mitä erilaisimmissa ohjelmistoympäristöissä.

Siksi kolmansien osapuolten päivitykset eivät ehkä ole ainakaan lopullinen ratkaisu.

ZERT kehottaa sekin asentamaan ohjelmiston valmistajan tekemän päivityksen heti, kun sellainen on julkaistu. ZERTin mukaan päivitys kuitenkin tarvitaan usein nopeasti, ja silloin valmistajaa ei voi jäädä odottelemaan.

Väliaikaiseksi ratkaisuksi kolmannen osapuolen päivitys voi olla ainoa vaihtoehto, ellei Microsoft saa tehostetuksi omien päivitystensä testaamista ja julkaisemista.

Loppukäyttäjän mietittäväksi jää, päivittääkö heti jonkun muun tekemällä korjauksella – mikä Microsoftin mukaan on aina riski – vai odotellako Microsoftin omaa korjausta pahimmassa tapauksessa kuukauden. Kuukausi on kovin pitkä aika tietoturvamaailmassa.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Tunnistatko kuvan lippispäisen miehen? Epäillään törkeästä maksuvälinepetoksesta

    2. 2

      Olli Rehn riiteli myymästään asunnosta oikeudessa – ostaja: ”Tunsin, että minua on petetty”

    3. 3

      Suoraa puhetta SM-liigaa järisyttävästä HIFK:n Joe Finleystä – ”Tätä te ette halua kuulla”

    4. 4

      Suomalaiskaksoset Eva ja Mia poseeraavat miestenlehti Maximissa – ”viikinkikaunottaret” viettelevinä nahkaremmeissä

    5. 5

      Amerikkalaiset opettelevat arktista sodankäyntiä Jääkäriprikaatissa – vaikeuksia suomalaisten perustaidossa

    6. 6

      Manuela Bosco julkaisi harvinaisia yhteiskuvia perheestään – tyttären villi kampaus varastaa huomion

    7. 7

      Huomaatko piilossa olevan ihmishahmon 1880-luvun kuvassa? Vanha mysteeri hämmentää

    8. 8

      Käytös laduilla hämmentää ja raivostuttaa hiihtäjiä: ”Siellä kävellään, juostaan, pyöräillään, vedetään pulkkaa...”

    9. 9

      Perhe rakensi kodikseen lasisen kupolin – uniikki talo kääntää katseet

    10. 10

      Nyrkkitappelu helsinkiläisessä peruskoulussa – poliisi paikalle

    11. Näytä lisää
    1. 1

      Kolme povekasta blondia: Natalie, 45, sekoitetaan jatkuvasti tyttäriinsä – erotatko kuvista kuka on äiti?

    2. 2

      Kaisa Mäkäräinen nettosi viikonlopulta huipputilin

    3. 3

      Venäläisen sarjamurhaajan karmiva tarina: mahdollisesti kaikkien aikojen kolmanneksi raa'in henkirikossarja

    4. 4

      Mikan ja Marketan rakkaustarina – saksalaislehti paljasti kaunottaren menneisyyden

    5. 5

      Suosikkikohteeseen laskeutuminen vaatii kapteenilta erityiskoulutuksen – 5 hurjaa kiitotietä

    6. 6

      Polttoainefirma repäisee upouudella mallilla: Tankkaa autoasi puolitoista vuotta kiinteällä kk-hinnalla

    7. 7

      ”Täysin luomusta” Antjesta, 22, tuli Instagram-tähti – pyrkii kurvikkailla kuvillaan Hollywoodiin

    8. 8

      Huomaatko piilossa olevan ihmishahmon 1880-luvun kuvassa? Vanha mysteeri hämmentää

    9. 9

      Enni Rukajärvi teki kovan päätöksen – ”Jossain menee jokaisella se raja”

    10. 10

      Espoolainen Risto kertoo työkokeilusta: teki kaksi kuukautta ilmaista työtä – sitten yritys ilmoittikin rekrytointikiellosta

    11. Näytä lisää
    1. 1

      Teri Niitti, 43, on kuollut

    2. 2

      Madonna julkaisi haarovälikuvan – Piers Morgan: ”Oksensin aamupalani”

    3. 3

      Poliisi ampui miehen maaliskuussa – vainajan autosta löytyi kolkko kirje

    4. 4

      Valesotilas yritti huijata – Tiina vedättikin takaisin: ”Naurettiin ukkoni kanssa niin, että mahaan koski”

    5. 5

      Häikäisevän kaunis morsian! Mika Häkkinen ja Marketa pääsivät poroajelun kyytiin – suloiset lapset mukana

    6. 6

      Huikea muutos: Playboy-mallin kasvoilta pestiin tv-ohjelmassa vahva meikkikerros – tyrmistyi lopputuloksesta

    7. 7

      Mikan ja Marketan rakkaustarina – saksalaislehti paljasti kaunottaren menneisyyden

    8. 8

      Arto, 35, joutui väkisin mukaan perustulo­kokeiluun: ”Älyttömän huonot tunnelmat ”

    9. 9

      Masennuksen huonosti tunnettu alatyyppi nakertaa vaivihkaa – onko sinulla kolme näistä oireista?

    10. 10

      Teri Niitti antoi syksyllä riipaisevan haastattelun Suomipopille – kertasi raskasta vuottaan: ”Mulle riittää, että olen pyytänyt anteeksi”

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Tunnistatko kuvan lippispäisen miehen? Epäillään törkeästä maksuvälinepetoksesta

    2. 2

      Olli Rehn riiteli myymästään asunnosta oikeudessa – ostaja: ”Tunsin, että minua on petetty”

    3. 3

      Suoraa puhetta SM-liigaa järisyttävästä HIFK:n Joe Finleystä – ”Tätä te ette halua kuulla”

    4. 4

      Suomalaiskaksoset Eva ja Mia poseeraavat miestenlehti Maximissa – ”viikinkikaunottaret” viettelevinä nahkaremmeissä

    5. 5

      Amerikkalaiset opettelevat arktista sodankäyntiä Jääkäriprikaatissa – vaikeuksia suomalaisten perustaidossa

    6. Näytä lisää
    1. 1

      Kolme povekasta blondia: Natalie, 45, sekoitetaan jatkuvasti tyttäriinsä – erotatko kuvista kuka on äiti?

    2. 2

      Kaisa Mäkäräinen nettosi viikonlopulta huipputilin

    3. 3

      Venäläisen sarjamurhaajan karmiva tarina: mahdollisesti kaikkien aikojen kolmanneksi raa'in henkirikossarja

    4. 4

      Mikan ja Marketan rakkaustarina – saksalaislehti paljasti kaunottaren menneisyyden

    5. 5

      Suosikkikohteeseen laskeutuminen vaatii kapteenilta erityiskoulutuksen – 5 hurjaa kiitotietä

    6. Näytä lisää
    1. 1

      Teri Niitti, 43, on kuollut

    2. 2

      Madonna julkaisi haarovälikuvan – Piers Morgan: ”Oksensin aamupalani”

    3. 3

      Poliisi ampui miehen maaliskuussa – vainajan autosta löytyi kolkko kirje

    4. 4

      Valesotilas yritti huijata – Tiina vedättikin takaisin: ”Naurettiin ukkoni kanssa niin, että mahaan koski”

    5. 5

      Häikäisevän kaunis morsian! Mika Häkkinen ja Marketa pääsivät poroajelun kyytiin – suloiset lapset mukana

    6. Näytä lisää