Tietoturva

Miksi Windowsin vikoja ei korjata heti? Syy selvisi

Julkaistu:

Haavoittuvuudet
Microsoft selitti, millä tavalla se päättää tietoturvakorjausten kiireellisyydestä.
Ohjelmistoyhtiö Microsoft kertoo, millä tavalla se päättää tietoturvahaavoittuvuuden korjaamisesta joko kuukausittaisena paikkaustiistaina tai vasta myöhemmin osana Windowsin seuraavaa versiopäivitystä.

Microsoft julkaisi käytäntönsä asiakirjassa (pdf) ja kirjoitti niistä lyhyen alustuksen blogissaan. Aiheesta uutisoi ZDNet. Yhtiön paikkaustavat ovat usein herättäneet kummastusta, kun korjaukset joihinkin haavoittuvuuksiin ovat viipyneet.

Microsoftin mukaan nopeaan paikkaamiseen tarvitaan kaksi asiaa: Haavoittuvuuden pitää loukata sellaista turvallisuusperiaatetta tai tietoturvaominaisuutta, joiden puolustamiseen Microsoft on sitoutunut. Toiseksi haavoittuvuuden pitää olla tarpeeksi vakava, eli luokitukseltaan tärkeä tai kriittinen.

Jos jompi kumpi kriteereistä ei täyty, haavoittuvuus korjataan todennäköisimmin vasta osana Windowsin suurempaa versiopäivitystä.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Yksi esimerkki nopeasti korjattavasta haavoittuvuudesta olisi kriittiseksi luokiteltava ongelma, joka antaa sovelluksen murtautua ulos niin sanotusta hiekkalaatikosta. Tällöin sovellus pääsee toimimaan käyttöjärjestelmässä sallittua laajemmin.

Lue lisää: Microsoft melkein paikkasi Outlook-aukon: Windows-tunnukset ja salasanat yhä vaarassa

Asiakirja on vasta luonnos, jolla Microsoft pyytää tutkijoilta palautetta lopullista versiota varten. Yhtiö haluaa tietää, ovatko sen paikkauskriteerit tutkijoiden mielestä järkeviä.

Kyseessä saattaa olla myös Microsoftin pyrkimys estää jatkuvia kahakoita varsinkin Googlen tietoturvatutkijoiden kanssa. Nämä ovat toisinaan julkaisseet Microsoftin haavoittuvuuksia ennen kuin niihin on saatavilla korjausta. Parempi läpinäkyvyys Microsoftin paikkauskäytäntöihin saattaa parantaa tilannetta.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt