Digitoday

Valikko

Microsoftin päivitystä ei tarvitse odottaa

Koveneva haavoittuvuustahti on herättänyt tietoturvatalot julkaisemaan päivityksiä ohjelmistojen tietoturva-aukkoihin. Miten näihin kolmansien osapuolten päivityksiin pitäisi suhtautua? Jos Microsoft ei kerran tarjoa päivitystään kuin kerran kuussa, eikö kannattaisi turvautua muiden paikkauksiin?
Yhä useammin tietoturva-aukot tuntuvat olevan nollapäivän haavoittuvuuksia, eivätkä ohjelmistovalmistajat saa päivityksiään aina riittävän nopeasti. Muiden ohjelmistotalojen tavoin Microsoft ei ole järin innostunut muiden tekemistä päivityksistä sen ohjelmiin, eikä se suosittele niiden asentamista.

Päivityksiä Microsoftin ja muiden valmistajien ohjelmiin on tarjonnut muun muassa tietoturvatutkijoista koostuva, nollapäivän haavoittuvuuksiin erikoistunut ZERT-ryhmä. ZERT on muutamaan otteeseen osoittanut olevansa nopea vaihtoehto Microsoftin kuukausittaisille pakettipäivityksille.

Myös tanskalainen tietoturvayhtiö Secunia on tehnyt päivitystyötä, muun muassa syyskuussa löydettyyn Windowsin Shell-haavoittuvuuteen. Muutkin tietoturvayhtiöt ovat lähteneet mukaan päivitystoimintaan. Secunian lisäksi ainakin eEye ja Sourcefire tarjoavat ilmaisia päivityspalveluja.

Tilanne on kiusallinen Microsoftille, sillä sen tuotteista löydetään jatkuvasti haavoittuvuuksia. Lokakuussa yhtiö rikkoi ennätyksensä paikkaamalla 26 haavoittuvuutta päivityspaketissaan. Uusi Internet Explorer 7 -selain hädin tuskin ehti julkisuuteen, kun sekin jo osoitettiin haavoittuvaksi.

Haavoittuvuuksia toki löydetään muidenkin valmistajien tuotteista, mutta Microsoft on tässä suhteessa erityisen tarkkailun alaisena; yhtiön tuotteita käytetään niin paljon, että yhden haavoittuvuuden hyväksikäyttökoodilla voi saada nopeasti aikaan mittavaa vahinkoa.

Samasta syystä Microsoftin käyttöjärjestelmät ja ohjelmat myös muodostavat houkuttavan kokoisen levityskanavan haittaohjelmille.

Aikataululla vai ilman?

Haavoittuvuuksia julkaistaan yhä useammin välittömästi tai pian sen jälkeen, kun Microsoft on julkaissut kuukausittaisen päivityspakettinsa.

Asetelma vaikuttaa laskelmoidulta; tällä tavoin saadaan toisaalta maksimoiduksi haavoittuvuuden huomioarvo, toisaalta minimoiduksi Microsoftin mahdollisuudet paikata aukko. Kun haavoittuvuus julkaistaan nopeasti edellisen päivityksen jälkeen, monen järjestelmä on vielä päivittämättä ja siksi haavoittuva.

Itsehän Microsoft on päivityspolitiikkansa valinnut. Ohjelmistojätin ajatuksena on sen omien sanojen mukaan ollut yksinkertaistaa päivitysrumbaa ja parantaa päivitysten laatua. Kun päivitykset on aikataulutettu, niihin ehditään paneutua syvällisemmin, mikä toivottavasti näkyy hyvin toimivina päivityksinä.

Microsoft on sanonut, että nimenomaan sen asiakkaat ovat halunneet kuukausipäivityksen. Kun asiakkaat tietävät, koska päivityksiä tulee seuraavan kerran, heidän on helpompaa suunnitella omat toimenpiteensä päivitysten suhteen. Päivityspaketti myös tarjoaa ainakin teoriassa kätevän tavan tarkistaa ja saada tärkeimmät päivitykset kootusti.

Microsoftin päivitysjärjestelmä ei kuitenkaan ole aukoton. Tiistaina julkaistuun joulukuun päivityspakettiin lipsahti vahingossa keskeneräinen päivitys. Yhtiö joutui pyytämään asiakkaitaan poistamaan päivityksen.

Sitä mukaa kuin nollapäivän haavoittuvuudet yleistyvät, lisääntyvät puheet siitä, että Microsoftin on alettava julkaista yhä enemmän tärkeitä päivityksiä laatimansa aikataulun ulkopuolella.

Testaaminen vie aikaa

Tietoturvapäivitykset vaativat testaamista, ja se taas vie aikaa. Mitä enemmän päivitystä ehditään testata ennen kuin se julkaistaan, sitä todennäköisempää on, että se toimii niin kuin sen on tarkoitus toimia – ja vielä mitä erilaisimmissa ohjelmistoympäristöissä.

Siksi kolmansien osapuolten päivitykset eivät ehkä ole ainakaan lopullinen ratkaisu.

ZERT kehottaa sekin asentamaan ohjelmiston valmistajan tekemän päivityksen heti, kun sellainen on julkaistu. ZERTin mukaan päivitys kuitenkin tarvitaan usein nopeasti, ja silloin valmistajaa ei voi jäädä odottelemaan.

Väliaikaiseksi ratkaisuksi kolmannen osapuolen päivitys voi olla ainoa vaihtoehto, ellei Microsoft saa tehostetuksi omien päivitystensä testaamista ja julkaisemista.

Loppukäyttäjän mietittäväksi jää, päivittääkö heti jonkun muun tekemällä korjauksella – mikä Microsoftin mukaan on aina riski – vai odotellako Microsoftin omaa korjausta pahimmassa tapauksessa kuukauden. Kuukausi on kovin pitkä aika tietoturvamaailmassa.

  • Mielipide

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Stubb opetti Trumpille faktoja Ruotsista – viesti sytytti kiivaan keskustelun

    2. 2

      Maria Veitola mykistyy Saara Aallon prinsessamaailmasta: ”Onko Saara minkä asteen hörhö”

    3. 3

      Bill Gates varoittaa: Tähän uhkaan ihmiskunta ei ole varautunut riittävästi, kymmenien miljoonien henki vaarassa

    4. 4

      Riipaiseva video: Mies kosi tyttöystäväänsä täydessä ostoskeskuksessa – romanttinen ele päättyi järkyttävään nöyryytykseen

    5. 5

      Vappu Pimiä ja Kiira Korpi tyrmäävinä Tanssii tähtien kanssa -ohjelmassa sääret paljastavissa minimekoissa

    6. 6

      Nokian tapon yrityksestä epäilty 18-vuotias valehteli poliisille: kengät eteisessä herättivät huomion – ”Tyttö on edelleen sairaalassa”

    7. 7

      Poliisi IS:lle: Tila-auto törmäsi ilmeisesti tahallaan, teinien mopoauto kohteeksi sattumalta

    8. 8

      Aluksi Antin, 32, koukkuun nappasi hauki – mutta siihen haukeen iskikin oikein jättiläishauki

    9. 9

      Entinen it-kohumiljonääri Jaakko Rytsölä Arto Nybergin vieraana: ”Itsesyytökset kestivät vuosia”

    10. 10

      Patrik Laineelle jälleen ylistystä – ”uskomaton” laukaus saa kehuja: ”Et näe muiden tekevän sellaisia maaleja”

    11. Näytä lisää
    1. 1

      Pekka Vähäsöyrinki tunnusti Mika Myllylän haudalla, milloin dopinginkäyttö alkoi: ”Siinä hetkessä annoin periksi”

    2. 2

      Donald Trumpilta outo viittaus Ruotsiin: ”Katsokaa, mitä tapahtui eilen illalla Ruotsissa – kuka olisi uskonut?”

    3. 3

      Riipaiseva video: Mies kosi tyttöystäväänsä täydessä ostoskeskuksessa – romanttinen ele päättyi järkyttävään nöyryytykseen

    4. 4

      Bill Gates varoittaa: Tähän uhkaan ihmiskunta ei ole varautunut riittävästi, kymmenien miljoonien henki vaarassa

    5. 5

      Tässä on vedenpitävä todiste SM-liigan maaliskandaalista: ”Miten joku voi kuvitella, että tuo on maali?”

    6. 6

      Kari, 69, sai tylyn päätöksen ajokortista – näin hän ratkaisi asian edukseen

    7. 7

      17-vuotiaat tyttö ja poika kuolivat pakettiauton ja mopoauton nokkakolarissa Sastamalassa

    8. 8

      Stubb opetti Trumpille faktoja Ruotsista – viesti sytytti kiivaan keskustelun

    9. 9

      Poliisi IS:lle: Tila-auto törmäsi ilmeisesti tahallaan, teinien mopoauto kohteeksi sattumalta

    10. 10

      Poliisi epäilee henkirikosta – teinityttö ja -poika kuolivat nokkakolarissa Sastamalassa

    11. Näytä lisää
    1. 1

      Prisman kassamyyjä sai pyörätuolimiehen itkemään Helsingissä – jonossa ollut Jatta riensi apuun: ”Olin niin kiukkuinen”

    2. 2

      Takavuosien seksisymboli Outi Alanen 50 vuotta – katosi tv:stä eikä saa näyttelijän töitä: ”En kuulu hyvä veli -verkostoon”

    3. 3

      Kauniin naisen tavallisen näköisestä Instagram-kuvasta yllättäen nettihitti: ”Kaikkien aikojen traagisin otos”

    4. 4

      Tutkijat tekivät pelottavan löydön merenpohjasta 10 kilometrin syvyydestä

    5. 5

      MTV: Saara Aalto kärsii kiusallisesta ja kivuliaasta naistentaudista: ”Ei parannuskeinoa”

    6. 6

      Nuori mies jäi kiinni pettämisestä nololla tavalla – typerä töppäys sosiaalisessa mediassa kavalsi

    7. 7

      Mies teki klassisen virheen aamutuimaan – lattiat menivät pilalle

    8. 8

      Kanadan hurmuriministeri sai Ivanka Trumpin pasmat sekaisin – flirttaileva kuva leviää vauhdilla

    9. 9

      Pekka Vähäsöyrinki tunnusti Mika Myllylän haudalla, milloin dopinginkäyttö alkoi: ”Siinä hetkessä annoin periksi”

    10. 10

      Jasse-vauva lakkasi hengittämästä, isä ei epäröinyt hetkeäkään – ”Hän rakasti meidän pojan henkiin”

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Stubb opetti Trumpille faktoja Ruotsista – viesti sytytti kiivaan keskustelun

    2. 2

      Maria Veitola mykistyy Saara Aallon prinsessamaailmasta: ”Onko Saara minkä asteen hörhö”

    3. 3

      Bill Gates varoittaa: Tähän uhkaan ihmiskunta ei ole varautunut riittävästi, kymmenien miljoonien henki vaarassa

    4. 4

      Riipaiseva video: Mies kosi tyttöystäväänsä täydessä ostoskeskuksessa – romanttinen ele päättyi järkyttävään nöyryytykseen

    5. 5

      Vappu Pimiä ja Kiira Korpi tyrmäävinä Tanssii tähtien kanssa -ohjelmassa sääret paljastavissa minimekoissa

    6. Näytä lisää
    1. 1

      Pekka Vähäsöyrinki tunnusti Mika Myllylän haudalla, milloin dopinginkäyttö alkoi: ”Siinä hetkessä annoin periksi”

    2. 2

      Donald Trumpilta outo viittaus Ruotsiin: ”Katsokaa, mitä tapahtui eilen illalla Ruotsissa – kuka olisi uskonut?”

    3. 3

      Riipaiseva video: Mies kosi tyttöystäväänsä täydessä ostoskeskuksessa – romanttinen ele päättyi järkyttävään nöyryytykseen

    4. 4

      Bill Gates varoittaa: Tähän uhkaan ihmiskunta ei ole varautunut riittävästi, kymmenien miljoonien henki vaarassa

    5. 5

      Tässä on vedenpitävä todiste SM-liigan maaliskandaalista: ”Miten joku voi kuvitella, että tuo on maali?”

    6. Näytä lisää
    1. 1

      Prisman kassamyyjä sai pyörätuolimiehen itkemään Helsingissä – jonossa ollut Jatta riensi apuun: ”Olin niin kiukkuinen”

    2. 2

      Takavuosien seksisymboli Outi Alanen 50 vuotta – katosi tv:stä eikä saa näyttelijän töitä: ”En kuulu hyvä veli -verkostoon”

    3. 3

      Kauniin naisen tavallisen näköisestä Instagram-kuvasta yllättäen nettihitti: ”Kaikkien aikojen traagisin otos”

    4. 4

      Tutkijat tekivät pelottavan löydön merenpohjasta 10 kilometrin syvyydestä

    5. 5

      MTV: Saara Aalto kärsii kiusallisesta ja kivuliaasta naistentaudista: ”Ei parannuskeinoa”

    6. Näytä lisää