"We documenteren niet elk probleem dat wordt gevonden," vertelt Mike Reavey, director van het Microsoft Security Response Center (MSRC) tijdens een bijeenkomst met journalisten op het hoofdkantoor van Microsoft in Redmond.

Microsoft geeft één Common Vulnerabilities and Exposures (CVE) nummer uit voor alle beveiligingsproblemen met dezelfde impact, dezelfde aanvalsvector en dezelfde workaround. Wanneer meerdere gaten deze eigenschappen delen, zal Microsoft ze niet apart melden, licht Reavey toe in een interview met Webwereld.

Stille patches

Het stil houden van patches kwam eerder deze maand aan het licht na onderzoek van Core Security Technologies. De firma had patches MS10-024 en MS10-028 bestudeerd en constateerde dat er nog drie 'stille' patches aan waren toegevoegd.

Beveiligingsbulletin MS10-028 beschrijft een lek in Visio dat tot een buffer overflow kan leiden. Een aanvaller zou daarmee de controle over een computer kunnen overnemen. Microsoft heeft de extra gaten in Visio niet gemeld omdat "de aanvalsvector hetzelfde was en de impact gelijk was. Vanuit het oogpunt van de klant werkte dezelfde workaround: het niet openen van Visio documenten uit een niet vertrouwde bron," vertelt Reavey.

Adobe

Ook Adobe laat het melden van beveiligingslekken soms achterwege. Tijdens een presentatie op dinsdag erkende Adobe's beveiligingschef Brad Arkin dat de firma geen CVE toekent aan gaten die het bedrijf zelf heeft gevonden. Adobe beschouwt deze updates als "verbeteringen aan de code," zei Arkin. "Alleen externe en door aanvallers misbruikte bugs krijgen een CVE."

Bugs tellen

Bedrijven en onderzoekers gebruiken het aantal CVE-nummers vaak om de veiligheid van verschillende applicaties en platformen te vergelijken. Microsoft zelf toonde tijdens een bijeenkomst een slide waarop het aantal gaten in de besturingssystemen Windows XP, Windows Vista, UbuntuLTS, Red Hat Enterprise Linux 4 en OS X 10.4 vergeleken werd. In een andere slide werden updates in SQL Server 2000 en SQL Server 2005 vergeleken met die in een niet nader omschreven concurrerende database. In beide gevallen kwam Microsoft als beste uit de bus.

Reavey geeft toe dat het vergelijken van aantallen beveiligingsgaten niet zuiver is, maar bepleit dat het nog wel enige waarde heeft. "Er zijn veel verschillende manieren waarop je beveiliging kunt meten. Het tellen van het aantal kwetsbare plekken is één manier, en is niet perfect." Het vergelijken van het aantal gaten per regel code biedt een mogelijk alternatief.

Reavey bepleit dat het aantal gaten nog wel inzicht geeft in de verschillen in veiligheid van de producten van één leverancier.

Boekhouding

Maar op de keper beschouwd vindt Reavey de discussie over bug aantallen als een "boekhoudingskwestie" die alleen maar afleidt van belangrijk werk. Wanneer Microsoft een beveiligingsmelding ontvangt, focussen de onderzoekers zich liever op het optimaliseren van onderzoekstools waarmee zij 200 gerelateerde gaten kunnen opsporen, licht hij toe. Technisch gezien bevat de code dan 200 gaten maar "je verandert één regel code en dat blokkeert alle 200 mogelijke problemen. Is dat dan één probleem? Zijn dat 200 problemen? Ik zou het niet weten."

"Als we tijd besteden om de boekhouding goed te doen, dan hebben we minder tijd om een oplossing te creëren en onze klanten te beschermen," concludeert Reavey.