Hackers proberen sinds eind maart op redelijk grote schaal misbruik te maken van een lek in IE. Veel veiligheidsexperts menen dat Microsoft dit lek voortijdig had moeten dichten en niet had moeten wachten tot de maandelijkse patchdag (11 april). Volgens Microsoft-beleid worden veiligheidsfixes iedere tweede dinsdag van de maand, de zogenaamde patchdinsdag, vrijgegeven. Dit kan thuisgebruikers duperen omdat zijn de gelaagde bescherming missen zoals die binnen bedrijfsomgevingen wordt geboden, aldus Todd Towles, een beveiligingsadviseur uit Austin. "In het verleden zou ik geen moeite hebben met de vertraging van de kant van Microsoft, nu echter komt het té vaak voor", zegt hij. "Microsoft wacht tot patchdinsdag om de patchmanagementteams blij te maken. Maar daardoor worden alleen maar de miljoenen thuisgebruikers geschaad: die krijgen te maken met een verhoogd veiligheidsrisico." Microsoft onderzoekt de mogelijkheid om updates binnen een korter tijdsbestek gereed te hebben. Anderzijds zijn er nog geen plannen om bètaversies van de beveiligingsupdates vrij te geven, zegt Stephen Toulouse, veiligheidsprogrammamanager bij het Microsoft Security Response Centre. "Dat is een enorme uitdaging." Het belangrijkste aspect in dit kader is volgens Microsoft de kwaliteitscontrole. De softwarefabrikant moet veiligstellen dat zijn updates het doen op tal van verschillende platforms, waarbij een groot aantal platforms is aangepast voor gebruik in andere delen van de wereld. "We mogen niemand over het hoofd zien", aldus Toulouse. "En misschien worden er juist wel nieuwe problemen veroorzaakt. Daarom moet er kwaliteit worden geleverd, al betreft het maar een kleine fix. Zo krijgen we het steeds weer van onze klanten te horen." "Dat wil natuurlijk niet zeggen dat we de mogelijkheden niet onderzoeken om dat wel te doen bijvoorbeeld door een versnelde of wellicht minder geteste update uitgeven. Maar daarover is nog geen beslissing genomen", voegt hij toe. Het idee om niet-ondersteunde software vrij te geven, is niet helemaal nieuw voor Microsoft. De onderneming verspreidt al jaren bètaversies van zijn producten onder testers. En in de afgelopen maanden is het bedrijf transparanter en alerter geworden als het gaat om het vrijgeven van code van toekomstige producten. Toch hoeft een bètatraject dat goed werkt voor commerciële software dat voor beveiligingsupdates niet te doen. Als Microsoft bijvoorbeeld een vroege patch van een onbekend veiligheidslek zou vrijgeven, dan zou dit een hint kunnen zijn voor hackers en daarmee een heel nieuw soort bedreiging kunnen vormen. "Er zouden op particulier niveau gemelde aspecten in zo'n update verwerkt kunnen zijn, die nog niet openbaar gemaakt zijn", zegt Toulouse. "Als wij een bulletin uitgeven, wordt de informatie over een specifieke kwetsbaarheid genoemd. Hoe zou je zoiets met een bèta moeten aanpakken? Geeft je een soort-van-bulletin uit?" Wat Microsoft in de toekomst ook gaat veranderen - de trage reactie op kritische bugs schept een luchtledig dat gedurende de afgelopen maanden door anderen is opgevuld. Recent gaven de veiligheidsspecialisten eEye Digital Security en Determina zelfontwikkelde patches vrij, die een toen nog ongepatcht lek in IE dichtten. Eerder al verspreidde softwareontwikkelaar Ilfak Guilfanov een op brede schaal toegepaste patch waarmee een soortgelijke kritische IE-bug werd gerepareerd. Gebruikers die hun computer willen beveiligen tegen het nieuwste lek kunnen of de Active Scripting-functie van hun browser uitzetten of een van de niet ondersteunde patches installeren. Deze laatste optie wordt door Microsoft afgeraden. Immers, patches van derden "wijzigen de manier van werken van het product" waardoor compatibiliteitsproblemen met andere toepassingsprogramma's kunnen optreden. Towles is van mening dat Microsoft wel vroege beveiligingsupdates moet vrijgeven. "Microsoft neemt een afwachtende houding aan en laat de leveranciers testpatches verspreiden. Die vangen dan de klappen op voor wat er misgaat", zegt hij. "Ze laten ons gebruikmaken van SQL/Server-bèta. Waarom dan niet ook de beta-IE-patch vrijgeven?" Bron: Techworld