Digitoday

Microsoftin päivitystä ei tarvitse odottaa

Julkaistu: , Päivitetty:

Koveneva haavoittuvuustahti on herättänyt tietoturvatalot julkaisemaan päivityksiä ohjelmistojen tietoturva-aukkoihin. Miten näihin kolmansien osapuolten päivityksiin pitäisi suhtautua? Jos Microsoft ei kerran tarjoa päivitystään kuin kerran kuussa, eikö kannattaisi turvautua muiden paikkauksiin?
Yhä useammin tietoturva-aukot tuntuvat olevan nollapäivän haavoittuvuuksia, eivätkä ohjelmistovalmistajat saa päivityksiään aina riittävän nopeasti. Muiden ohjelmistotalojen tavoin Microsoft ei ole järin innostunut muiden tekemistä päivityksistä sen ohjelmiin, eikä se suosittele niiden asentamista.

Päivityksiä Microsoftin ja muiden valmistajien ohjelmiin on tarjonnut muun muassa tietoturvatutkijoista koostuva, nollapäivän haavoittuvuuksiin erikoistunut ZERT-ryhmä. ZERT on muutamaan otteeseen osoittanut olevansa nopea vaihtoehto Microsoftin kuukausittaisille pakettipäivityksille.

Myös tanskalainen tietoturvayhtiö Secunia on tehnyt päivitystyötä, muun muassa syyskuussa löydettyyn Windowsin Shell-haavoittuvuuteen. Muutkin tietoturvayhtiöt ovat lähteneet mukaan päivitystoimintaan. Secunian lisäksi ainakin eEye ja Sourcefire tarjoavat ilmaisia päivityspalveluja.

Tilanne on kiusallinen Microsoftille, sillä sen tuotteista löydetään jatkuvasti haavoittuvuuksia. Lokakuussa yhtiö rikkoi ennätyksensä paikkaamalla 26 haavoittuvuutta päivityspaketissaan. Uusi Internet Explorer 7 -selain hädin tuskin ehti julkisuuteen, kun sekin jo osoitettiin haavoittuvaksi.

Haavoittuvuuksia toki löydetään muidenkin valmistajien tuotteista, mutta Microsoft on tässä suhteessa erityisen tarkkailun alaisena; yhtiön tuotteita käytetään niin paljon, että yhden haavoittuvuuden hyväksikäyttökoodilla voi saada nopeasti aikaan mittavaa vahinkoa.

Samasta syystä Microsoftin käyttöjärjestelmät ja ohjelmat myös muodostavat houkuttavan kokoisen levityskanavan haittaohjelmille.

Aikataululla vai ilman?

Haavoittuvuuksia julkaistaan yhä useammin välittömästi tai pian sen jälkeen, kun Microsoft on julkaissut kuukausittaisen päivityspakettinsa.

Asetelma vaikuttaa laskelmoidulta; tällä tavoin saadaan toisaalta maksimoiduksi haavoittuvuuden huomioarvo, toisaalta minimoiduksi Microsoftin mahdollisuudet paikata aukko. Kun haavoittuvuus julkaistaan nopeasti edellisen päivityksen jälkeen, monen järjestelmä on vielä päivittämättä ja siksi haavoittuva.

Itsehän Microsoft on päivityspolitiikkansa valinnut. Ohjelmistojätin ajatuksena on sen omien sanojen mukaan ollut yksinkertaistaa päivitysrumbaa ja parantaa päivitysten laatua. Kun päivitykset on aikataulutettu, niihin ehditään paneutua syvällisemmin, mikä toivottavasti näkyy hyvin toimivina päivityksinä.

Microsoft on sanonut, että nimenomaan sen asiakkaat ovat halunneet kuukausipäivityksen. Kun asiakkaat tietävät, koska päivityksiä tulee seuraavan kerran, heidän on helpompaa suunnitella omat toimenpiteensä päivitysten suhteen. Päivityspaketti myös tarjoaa ainakin teoriassa kätevän tavan tarkistaa ja saada tärkeimmät päivitykset kootusti.

Microsoftin päivitysjärjestelmä ei kuitenkaan ole aukoton. Tiistaina julkaistuun joulukuun päivityspakettiin lipsahti vahingossa keskeneräinen päivitys. Yhtiö joutui pyytämään asiakkaitaan poistamaan päivityksen.

Sitä mukaa kuin nollapäivän haavoittuvuudet yleistyvät, lisääntyvät puheet siitä, että Microsoftin on alettava julkaista yhä enemmän tärkeitä päivityksiä laatimansa aikataulun ulkopuolella.

Testaaminen vie aikaa

Tietoturvapäivitykset vaativat testaamista, ja se taas vie aikaa. Mitä enemmän päivitystä ehditään testata ennen kuin se julkaistaan, sitä todennäköisempää on, että se toimii niin kuin sen on tarkoitus toimia – ja vielä mitä erilaisimmissa ohjelmistoympäristöissä.

Siksi kolmansien osapuolten päivitykset eivät ehkä ole ainakaan lopullinen ratkaisu.

ZERT kehottaa sekin asentamaan ohjelmiston valmistajan tekemän päivityksen heti, kun sellainen on julkaistu. ZERTin mukaan päivitys kuitenkin tarvitaan usein nopeasti, ja silloin valmistajaa ei voi jäädä odottelemaan.

Väliaikaiseksi ratkaisuksi kolmannen osapuolen päivitys voi olla ainoa vaihtoehto, ellei Microsoft saa tehostetuksi omien päivitystensä testaamista ja julkaisemista.

Loppukäyttäjän mietittäväksi jää, päivittääkö heti jonkun muun tekemällä korjauksella – mikä Microsoftin mukaan on aina riski – vai odotellako Microsoftin omaa korjausta pahimmassa tapauksessa kuukauden. Kuukausi on kovin pitkä aika tietoturvamaailmassa.

  • Mielipide

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Latinokaunotar Jennifer Lopezin tuoreet kuvat loksauttivat leukoja – paljastava kuva takaapäin lumosi: ”Täydellinen vartalo”

    2. 2

      190 matkaajaa luuli pääsevänsä paratiisisaarelle, jäivätkin jumiin Vantaalle – tuore sulho: ”Honeymoon on aika helvetin kaukana”

    3. 3

      Helsinkiläinen 30-vuotias mies kaivoi lompakostaan 226,05 euroa – entä sinä?

    4. 4

      Juna syöksyi topparin läpi Joutsenossa – veturi roikkuu uhkaavasti ajotien yllä

    5. 5

      Omakotitalosta löytyi palaneen naisen ruumis Mikkelissä

    6. 6

      Onko muovikipposi terveysriski? Eviran asiantuntija kertoo, kauanko sitä on turvallista käyttää

    7. 7

      Toimittaja Kim Wallin verta löytyi sukellusveneen sisältä – silvotussa ruumiissa metallia

    8. 8

      Demareilta suorat sanat Jussi Halla-aholle: ”Juuri tähän terrorismilla pyritään”

    9. 9

      Kommentti: Norjasta kuului myös järjen ääntä Johaugin dopingtuomiosta – ”Nyrkinisku naiiviuden naamatauluun”

    10. 10

      Ministeri Orpo kertoi "työlistansa" – nämä suuret muutokset aiotaan toteuttaa Suomessa

    11. Näytä lisää
    1. 1

      Julkkiskaunottaren, 39, ylellinen elämäntyyli romahti – tv-ura ja avioliitto pilalla: Aiheutti kohun firman bileissä jouluna

    2. 2

      Kuinka vieraantunut olet luonnosta? Testaa 20 kysymyksellä

    3. 3

      Jari Isometsältä terävä huomio Therese Johaugin dopingtuomiosta

    4. 4

      Puhelimen kuvagalleriasta löytyi K18-materiaalia – alppikaunotar Lindsey Vonnin ja Tiger Woodsin otokset leviävät vauhdilla

    5. 5

      Minttu Räikkönen hurmasi Helsingin ydinkeskustassa – viimeisen päälle tyylikäs look!

    6. 6

      Ikävä totuus ”lämpimänä kotina” myydystä unelmien talosta paljastui ostajalle talvella – välittäjällä oli erikoinen selitys

    7. 7

      Näitä töitä te-toimisto välittää ”tiskin alta” – katso 20 ammatin lista

    8. 8

      Trumpin ministerin kaunis näyttelijävaimo nostatti someraivon – julkaisi pröystäileviä kuvia miehensä työmatkalta

    9. 9

      Laria, 18, kutsutaan Paratiisihotellissa nimellä Mr Too Big – lempinimi osoittautui osuvaksi: ”Olisi pitänyt varautua niillä isommilla”

    10. 10

      Räikköset aiheuttivat megayllätyksen Helsingissä! Pikku-Robin, 2, varasti huomion lavalla – myös Minttu mukana

    11. Näytä lisää
    1. 1

      IS seurasi Turun tapahtumia hetki hetkeltä: Vaaratiedotetta ei ehditty lähettää, presidentti Niinistö otti osaa suruun

    2. 2

      Silminnäkijät kertovat: Veitsellä aseistautunut mies hyökkäsi silmittömästi Turussa – ”puukotti lastenvaunujen kanssa liikkunutta naista”

    3. 3

      Poliisin Turussa tekemä kiinniotto tallentui videolle – silminnäkijä: poliisit pitivät epäiltyä maassa

    4. 4

      Terroristit suunnittelivat vielä suurempaa iskua Barcelonassa – poliisi arvelee 17-vuotiaan päätekijän kuolleen

    5. 5

      Video: Torimyyjä Arya, 24, ajoi Turun puukotuksista epäiltyä takaa pesäpallomailan kanssa

    6. 6

      Vesa näki puukkomiehen raa’an hyökkäyksen Turussa – ”Huusin niin kovaa kuin jaksoin”

    7. 7

      Kuva: Tässä viedään Turun epäiltyä puukottajaa – tämä kaikki tapahtumista tiedetään nyt

    8. 8

      Mies lähti viettämään railakasta viikonloppua uusien kavereiden kanssa – karu totuus paljastui maanantaina, kun poliisi soitti

    9. 9

      4-vuotias kertoi äidilleen nähneensä lenkillä ”isin vaimon” – ”Ilmeeni oli varmaan näkemisen arvoinen”

    10. 10

      Lehti: Lastenrattaita työntänyt Turun uhri oli juuri tullut Italiasta vauvansa kastejuhlasta

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Latinokaunotar Jennifer Lopezin tuoreet kuvat loksauttivat leukoja – paljastava kuva takaapäin lumosi: ”Täydellinen vartalo”

    2. 2

      190 matkaajaa luuli pääsevänsä paratiisisaarelle, jäivätkin jumiin Vantaalle – tuore sulho: ”Honeymoon on aika helvetin kaukana”

    3. 3

      Helsinkiläinen 30-vuotias mies kaivoi lompakostaan 226,05 euroa – entä sinä?

    4. 4

      Juna syöksyi topparin läpi Joutsenossa – veturi roikkuu uhkaavasti ajotien yllä

    5. 5

      Omakotitalosta löytyi palaneen naisen ruumis Mikkelissä

    6. Näytä lisää
    1. 1

      Julkkiskaunottaren, 39, ylellinen elämäntyyli romahti – tv-ura ja avioliitto pilalla: Aiheutti kohun firman bileissä jouluna

    2. 2

      Kuinka vieraantunut olet luonnosta? Testaa 20 kysymyksellä

    3. 3

      Jari Isometsältä terävä huomio Therese Johaugin dopingtuomiosta

    4. 4

      Puhelimen kuvagalleriasta löytyi K18-materiaalia – alppikaunotar Lindsey Vonnin ja Tiger Woodsin otokset leviävät vauhdilla

    5. 5

      Minttu Räikkönen hurmasi Helsingin ydinkeskustassa – viimeisen päälle tyylikäs look!

    6. Näytä lisää
    1. 1

      IS seurasi Turun tapahtumia hetki hetkeltä: Vaaratiedotetta ei ehditty lähettää, presidentti Niinistö otti osaa suruun

    2. 2

      Silminnäkijät kertovat: Veitsellä aseistautunut mies hyökkäsi silmittömästi Turussa – ”puukotti lastenvaunujen kanssa liikkunutta naista”

    3. 3

      Poliisin Turussa tekemä kiinniotto tallentui videolle – silminnäkijä: poliisit pitivät epäiltyä maassa

    4. 4

      Terroristit suunnittelivat vielä suurempaa iskua Barcelonassa – poliisi arvelee 17-vuotiaan päätekijän kuolleen

    5. 5

      Video: Torimyyjä Arya, 24, ajoi Turun puukotuksista epäiltyä takaa pesäpallomailan kanssa

    6. Näytä lisää