Digitoday

Valikko

Microsoftin päivitystä ei tarvitse odottaa

Koveneva haavoittuvuustahti on herättänyt tietoturvatalot julkaisemaan päivityksiä ohjelmistojen tietoturva-aukkoihin. Miten näihin kolmansien osapuolten päivityksiin pitäisi suhtautua? Jos Microsoft ei kerran tarjoa päivitystään kuin kerran kuussa, eikö kannattaisi turvautua muiden paikkauksiin?
Yhä useammin tietoturva-aukot tuntuvat olevan nollapäivän haavoittuvuuksia, eivätkä ohjelmistovalmistajat saa päivityksiään aina riittävän nopeasti. Muiden ohjelmistotalojen tavoin Microsoft ei ole järin innostunut muiden tekemistä päivityksistä sen ohjelmiin, eikä se suosittele niiden asentamista.

Päivityksiä Microsoftin ja muiden valmistajien ohjelmiin on tarjonnut muun muassa tietoturvatutkijoista koostuva, nollapäivän haavoittuvuuksiin erikoistunut ZERT-ryhmä. ZERT on muutamaan otteeseen osoittanut olevansa nopea vaihtoehto Microsoftin kuukausittaisille pakettipäivityksille.

Myös tanskalainen tietoturvayhtiö Secunia on tehnyt päivitystyötä, muun muassa syyskuussa löydettyyn Windowsin Shell-haavoittuvuuteen. Muutkin tietoturvayhtiöt ovat lähteneet mukaan päivitystoimintaan. Secunian lisäksi ainakin eEye ja Sourcefire tarjoavat ilmaisia päivityspalveluja.

Tilanne on kiusallinen Microsoftille, sillä sen tuotteista löydetään jatkuvasti haavoittuvuuksia. Lokakuussa yhtiö rikkoi ennätyksensä paikkaamalla 26 haavoittuvuutta päivityspaketissaan. Uusi Internet Explorer 7 -selain hädin tuskin ehti julkisuuteen, kun sekin jo osoitettiin haavoittuvaksi.

Haavoittuvuuksia toki löydetään muidenkin valmistajien tuotteista, mutta Microsoft on tässä suhteessa erityisen tarkkailun alaisena; yhtiön tuotteita käytetään niin paljon, että yhden haavoittuvuuden hyväksikäyttökoodilla voi saada nopeasti aikaan mittavaa vahinkoa.

Samasta syystä Microsoftin käyttöjärjestelmät ja ohjelmat myös muodostavat houkuttavan kokoisen levityskanavan haittaohjelmille.

Aikataululla vai ilman?

Haavoittuvuuksia julkaistaan yhä useammin välittömästi tai pian sen jälkeen, kun Microsoft on julkaissut kuukausittaisen päivityspakettinsa.

Asetelma vaikuttaa laskelmoidulta; tällä tavoin saadaan toisaalta maksimoiduksi haavoittuvuuden huomioarvo, toisaalta minimoiduksi Microsoftin mahdollisuudet paikata aukko. Kun haavoittuvuus julkaistaan nopeasti edellisen päivityksen jälkeen, monen järjestelmä on vielä päivittämättä ja siksi haavoittuva.

Itsehän Microsoft on päivityspolitiikkansa valinnut. Ohjelmistojätin ajatuksena on sen omien sanojen mukaan ollut yksinkertaistaa päivitysrumbaa ja parantaa päivitysten laatua. Kun päivitykset on aikataulutettu, niihin ehditään paneutua syvällisemmin, mikä toivottavasti näkyy hyvin toimivina päivityksinä.

Microsoft on sanonut, että nimenomaan sen asiakkaat ovat halunneet kuukausipäivityksen. Kun asiakkaat tietävät, koska päivityksiä tulee seuraavan kerran, heidän on helpompaa suunnitella omat toimenpiteensä päivitysten suhteen. Päivityspaketti myös tarjoaa ainakin teoriassa kätevän tavan tarkistaa ja saada tärkeimmät päivitykset kootusti.

Microsoftin päivitysjärjestelmä ei kuitenkaan ole aukoton. Tiistaina julkaistuun joulukuun päivityspakettiin lipsahti vahingossa keskeneräinen päivitys. Yhtiö joutui pyytämään asiakkaitaan poistamaan päivityksen.

Sitä mukaa kuin nollapäivän haavoittuvuudet yleistyvät, lisääntyvät puheet siitä, että Microsoftin on alettava julkaista yhä enemmän tärkeitä päivityksiä laatimansa aikataulun ulkopuolella.

Testaaminen vie aikaa

Tietoturvapäivitykset vaativat testaamista, ja se taas vie aikaa. Mitä enemmän päivitystä ehditään testata ennen kuin se julkaistaan, sitä todennäköisempää on, että se toimii niin kuin sen on tarkoitus toimia – ja vielä mitä erilaisimmissa ohjelmistoympäristöissä.

Siksi kolmansien osapuolten päivitykset eivät ehkä ole ainakaan lopullinen ratkaisu.

ZERT kehottaa sekin asentamaan ohjelmiston valmistajan tekemän päivityksen heti, kun sellainen on julkaistu. ZERTin mukaan päivitys kuitenkin tarvitaan usein nopeasti, ja silloin valmistajaa ei voi jäädä odottelemaan.

Väliaikaiseksi ratkaisuksi kolmannen osapuolen päivitys voi olla ainoa vaihtoehto, ellei Microsoft saa tehostetuksi omien päivitystensä testaamista ja julkaisemista.

Loppukäyttäjän mietittäväksi jää, päivittääkö heti jonkun muun tekemällä korjauksella – mikä Microsoftin mukaan on aina riski – vai odotellako Microsoftin omaa korjausta pahimmassa tapauksessa kuukauden. Kuukausi on kovin pitkä aika tietoturvamaailmassa.

  • Mielipide

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Kuvat: Temptation Islandiin uusi pariskunta – Pauliina, 20, rikkoo heti rajat poikaystävän selän takana

    2. 2

      Katso tästä vapun sää 102 paikkakunnalle – poutaa pukkaa!

    3. 3

      ESS: Olympiavoittaja Toni Niemisen mitalit huutokaupataan

    4. 4

      Minttu Räikkösen hulppea lapsuudenkoti uima-altaineen myynnissä – 7 huonetta ja 558 000 euron hintapyyntö

    5. 5

      2-vuotias menehtyi Lammin onnettomuudessa – poika oli turvakaukalossa ketjukolarin viimeisessä autossa

    6. 6

      Juha Vuoriselle kävi vastenmielinen vahinko: ”Tartutin äitiini satiaiset”

    7. 7

      Syyllistytkö johonkin näistä? Suomalaisten 3 sietämättömintä saunatapaa

    8. 8

      SM-liigan sensaatiojoukkue tyhjenee kauden jälkeen – ykkössentteri lähdössä KHL:ään

    9. 9

      Ministeriö: Alkoholilaki menee uusiksi hovioikeuden Alkotaxi-päätöksen takia

    10. 10

      Terho: Hallitus päättänyt ruotsin kielen vapaaehtoiskokeilusta – ”Ainutlaatuinen tilaisuus”

    11. Näytä lisää
    1. 1

      Poliisi vahvistaa: Herttoniemenrannasta löytynyt ruumis on kateissa ollut Valtteri Ihalainen

    2. 2

      Michael Jacksonin Paris-tytär poseeraa harvinaisessa yhteiskuvassa kuuluisan kummisetänsä kanssa – tältä Yksin kotona -tähti näyttää nyt

    3. 3

      Äänekoskelaista Jukkaa odotti kotona mystinen yllätys – naapuri näki, kuinka kattotiilet lensivät

    4. 4

      Eevi Teittinen avoimena rankasta erostaan – suunnitteli häitä parisuhteen päättyessä: ”Tosi kova paikka”

    5. 5

      Nuori nainen päätti hurmata ihastuksensa: teki vaikuttavan esitelmän itsestään – mieheltä uskomattoman tyly vastaus

    6. 6

      Kasmir esiintyi ensi kertaa salakatselukohun jälkeen: Unohteli sanoja jännittyneenä – TTK-yleisöltä uskomaton reaktio

    7. 7

      Pysäyttävät kuvat pohjoiskorealaiselta moottoritieltä: Leveyttä kuin kiitoradalla, ruuhkat loistavat poissaolollaan

    8. 8

      Turvapaikanhakijoita puolustanut pastori harkitseekin jäämistä Suomeen: ”En tiedä mitä tehdä”

    9. 9

      Kuvat: Temptation Islandiin uusi pariskunta – Pauliina, 20, rikkoo heti rajat poikaystävän selän takana

    10. 10

      Taloyhtiön kanssa ei olisi kannattanut riidellä: pariskunnalle napsahti 3600 euron laatoituksesta 55 000 euron lasku

    11. Näytä lisää
    1. 1

      Hätkähdyttävä näky Padasjoen ABC:lla – sotilas asteli kahvilinjastolle rynnäkkökivääri mukanaan

    2. 2

      Äiti kosti poikansa röyhkeän tempun haudan takaa – vanhan äidin rahastaminen ei onnistunutkaan loppuun asti

    3. 3

      Nanna Karalahti ja Jere Karalahti: Ero!

    4. 4

      Nuori nainen julkaisi seksikkään takaapäin otetun kuvan – törkyinen detalji makuuhuoneessa varasti kaikkien huomion

    5. 5

      Samu Haber esitti kuohuttaneen Joutsenlaulu-version tv:ssä – katsojilta yksimielinen tuomio vedolle

    6. 6

      Ulla Appelsinin kommentti: Tragedia, josta arkkipiispa ei twiitannut

    7. 7

      Noloimmat tilanteet seksin aikana – onko itsellesi käynyt näin?

    8. 8

      Poikaystävä jäi kiinni pettämisestä nololla tavalla kesken romanttisen illallisen – ravintolan Facebook-vastaus leviää vauhdilla

    9. 9

      Synkkiä väitteitä: Michael Jacksonin unohdettu poika Blanket, 15, elää onnetonta elämää yksin miljoonakartanossa – ”Hän on itse kasvattanut itsensä”

    10. 10

      Radiojuontaja Kim Sainio kilahti täysin kesken juonnon – raivosi ja kirosi: Haastattelu Matti Nykäsen kanssa meni pieleen

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Kuvat: Temptation Islandiin uusi pariskunta – Pauliina, 20, rikkoo heti rajat poikaystävän selän takana

    2. 2

      Katso tästä vapun sää 102 paikkakunnalle – poutaa pukkaa!

    3. 3

      ESS: Olympiavoittaja Toni Niemisen mitalit huutokaupataan

    4. 4

      Minttu Räikkösen hulppea lapsuudenkoti uima-altaineen myynnissä – 7 huonetta ja 558 000 euron hintapyyntö

    5. 5

      2-vuotias menehtyi Lammin onnettomuudessa – poika oli turvakaukalossa ketjukolarin viimeisessä autossa

    6. Näytä lisää
    1. 1

      Poliisi vahvistaa: Herttoniemenrannasta löytynyt ruumis on kateissa ollut Valtteri Ihalainen

    2. 2

      Michael Jacksonin Paris-tytär poseeraa harvinaisessa yhteiskuvassa kuuluisan kummisetänsä kanssa – tältä Yksin kotona -tähti näyttää nyt

    3. 3

      Äänekoskelaista Jukkaa odotti kotona mystinen yllätys – naapuri näki, kuinka kattotiilet lensivät

    4. 4

      Eevi Teittinen avoimena rankasta erostaan – suunnitteli häitä parisuhteen päättyessä: ”Tosi kova paikka”

    5. 5

      Nuori nainen päätti hurmata ihastuksensa: teki vaikuttavan esitelmän itsestään – mieheltä uskomattoman tyly vastaus

    6. Näytä lisää
    1. 1

      Hätkähdyttävä näky Padasjoen ABC:lla – sotilas asteli kahvilinjastolle rynnäkkökivääri mukanaan

    2. 2

      Äiti kosti poikansa röyhkeän tempun haudan takaa – vanhan äidin rahastaminen ei onnistunutkaan loppuun asti

    3. 3

      Nanna Karalahti ja Jere Karalahti: Ero!

    4. 4

      Nuori nainen julkaisi seksikkään takaapäin otetun kuvan – törkyinen detalji makuuhuoneessa varasti kaikkien huomion

    5. 5

      Samu Haber esitti kuohuttaneen Joutsenlaulu-version tv:ssä – katsojilta yksimielinen tuomio vedolle

    6. Näytä lisää