Drie jaar geleden beloofde Microsoft om Win7 en 8.1 up to date te houden twee soorten patches - Maandelijkse Rollups die alles bevatten en "security only" patches die zich zouden moeten beperken tot veiligheidsoplossingen. Raad eens wat er net gebeurd is.

Degenen die hun patches via Windows Update kregen, ontvingen de zogenaamde Maandelijkse Rollups, die beveiligingspatches, bugfixes, en we weten eerlijk gezegd niet wat nog meer, in een cumulatieve stroom werden uitgerold.

De mensen die bereid waren om patches te downloaden en handmatig te installeren, kregen ook de mogelijkheid om "security only" patches te installeren, niet cumulatief; deze waren alleen bedoeld om de beveiligingslekken te verhelpen.

...Vanaf oktober 2016 zal Windows één enkele update voor alleen beveiliging uitbrengen. Deze update verzamelt alle beveiligingspatches voor die maand in één enkele update. In tegenstelling tot de Maandelijkse Rollup, zal de "Alleen beveiliging"-update alleen nieuwe beveiligingspatches bevatten die voor die maand zijn uitgebracht. Individuele patches zullen niet langer beschikbaar zijn... De security-only-update zal ondernemingen in staat stellen om zo weinig mogelijk van een update te downloaden, terwijl ze toch meer veilige apparaten kunnen onderhouden.

We hebben in de tussenliggende drie jaar veel problemen gehad met de security-only-patches, waarbij de meeste problemen te maken hadden met bugs die door de security-only-patches zijn gemaakt die in de Maandelijkse Rollups zijn gerepareerd.

Degenen die Windows Update gebruiken om hun Win7 patches te krijgen, kregen allerlei andere zaken, inclusief de beruchte spionagepatch KB 2952664 (of moet ik politiek correct zijn en het "telemetrie" noemen?).

Nu blijkt de patch van juli, KB 4507456, een onverwachte bonus te bevatten. Extra "telemetrie"-software.

Een oplettende (anonieme) gebruiker liet ons weten wat deze patch nog meer doet behalve beveiligingsproblemen oplossen:

De "9 juli 2019-KB4507456 (security only-update)" is GEEN "security only" update.

Het vervangt de beruchte KB295262664 en bevat telemetrie. Sommige details zijn te vinden in de bestandsinformatie voor update 4507456 (trefwoorden: "telemetrie", "diagtrack" en "appraiser") en op Deze pagina (in "Pakketdetails"->"Deze update vervangt de volgende updates" en daar wordt KB2952664 genoemd).

Een andere gebruiker die zichzelf PKCano noemt voegt daar het volgende aan toe:

Microsoft heeft de KB2952664-functionaliteit (bekend als de "Compatibility Appraiser") al in september 2018 opgenomen in de maandelijkse Rollups voor Windows 7. De verhuizing werd vooraf aangekondigd door Microsoft.

Met de Security Only Quality Update KB4507456 van juli 2019-07 heeft Microsoft deze functionaliteit zonder enige waarschuwing in een beveiligingsupdate gegoten, waardoor de "Compatibility Appraiser" en de geplande taken (telemetrie) aan de update worden toegevoegd. De pakketdetails voor KB4507456 zeggen dat het KB295262664 (en andere updates) vervangt.

Kom op, Microsoft. Dit is geen update die alleen betrekking heeft op de beveiliging. Hoe rechtvaardig je dit stiekeme gedrag? Waar is de transparantie nu?

"Workaround"

Gelukkig kan dit telemetrie-gedrag worden ingeperkt. Een gebruiker die zichzelf abbodi86 noemt heeft de patch uitgeplozen en geconcludeerd dat "Het uitschakelen (of verwijderen) van de volgende planningstaken na de installatie (voor het herstarten) voldoende zou moeten zijn om de appraiser uit te schakelen.

  • \Microsoft Windows' Application Experience Program ProgramDataUpdater...
  • \Microsoft Windows' Application Experience Microsoft Compatibility Appraiser...
  • \Microsoft Windows' Applicatie Ervaring met de toepassing van het programma...

maar het is het beste om tot volgende maand te wachten om te zien of de "security only" update wordt opgeschoond".

Ik heb geen enkele aanwijzing gevonden dat de Windows 8.1 security only-patch van Windows op dezelfde manier is ondermijnd.

Ondertussen wordt er stevig gediscussieerd over de patch. Sommigen vinden dat Microsoft terecht telemetrie toevoegt aan Windows 7 - vanwege alle problemen die in januari zijn ontstaan. De meesten zien deze manier van werken als fundamenteel bedrog, met nog meer Windows spionage software die zonder waarschuwing of toestemming wordt geïnstalleerd, dit keer in een "Security only"-patch.

Beveiligingsveteraan Dr. Vess Bontchev laat in elk geval weten Microsoft's updateproces niet meer te vertrouwen:


Zelfs als Microsoft's motieven goudeerlijk zijn is het moeilijk dit soort minachting voor Windows 7-gebruikers te rechtvaardigen. Het besturingssysteem wordt helaas nog maar zes maanden ondersteund en het lijkt onwaarschijnlijk dat een beveiligingswaakhond of andere regelgevende instantie Microsoft gaat aansporen dit soort praktijken uit te bannen.

Microsoft kon op vragen van ZDnet omtrent deze praktijken slechts reageren met: "geen commentaar".