Microsoft heeft in november vorig jaar aangekondigd diens security bulletins met pensioen te sturen. Het bedrijf is in 1998 begonnen met de bulletins en de grondigheid en transparantie werd alom geprezen door beveiligingsprofessionals. De bulletins werden gezien als dé manier om beveiligingsinformatie te melden en werden vaak vergeleken met de bulletins van andere leveranciers.

Microsoft zou de bulletins al in februari met pensioen sturen maar heeft dat nog twee maanden uitgesteld. Uiteindelijk deze maand de stekker uit de bulletins getrokken tot groot ongenoegen van veel consumenten en experts.

Boze reacties

Het internet stroomde al gauw vol met allerlei klachten waaronder deze klacht van een patch-expert die klaagt een zes keer grotere workload te hebben dankzij het verdwijnen van de bulletins.

Afgelopen vrijdag besloot Microsoft te vragen om feedback van gebruikers en de reacties waren niet mals:

"Ik haat haat haat het nieuwe security bulletin formaat, HAAT! Ik moet nu handmatig alle informatie overzetten in m'n spreadsheet om te verspreiden onder m'n klanten. Jullie hebben mijn werktijd verlengd met acht uur, bedankt voor niets." Aldus gebruiker Janelle 322.

"Ik ben normaal gesproken twee a drie uur bezig met het doorlezen van de bulletins om daarna te beslissen welke updates kunnen worden doorgevoerd op onze systemen. Ik ben vandaag acht uur bezig geweest om door te krijgen wat er nu allemaal aan de hand is en ik ben nog lang niet klaar."

"Deze nieuwe manier van werken is een gruwel. Ik heb de spreadsheet gedownload waarin 670 regels aan exploit-informatie staat en ik mag nu zelf maar uitzoeken wat nuttig is voor ons en waarom, verschrikkelijk." schrijft Jim24Mac.

Op de volgende pagina, commentaar van een expert en Microsoft's reactie

Windows-patchexpert Susan Bradley gooit daar nog een schepje bovenop: "Het is fijn om een doorzoekbare database te hebben in de Security Update-gids, het is echter te omslachtig om snel de benodigde informatie te vinden op Update Tuesday. Er moeten veel meer stappen worden uitgevoerd om dezelfde informatie boven water te krijgen en je moet meerdere bronnen raadplegen om deze informatie te bevestigen."

"Kortom, we hebben een communicatieprobleem. Microsoft praat over CVE's, maar we hebben nog steeds iets nodig wat laat zien wat we nodig hebben om te installeren op onze pc's. Als er een betere manier is om deze informatie te filteren zou dat geweldig zijn. Deze verandering heeft ons leven niet makkelijker gemaakt, maar juist moeilijker," schreef Bradley.

Microsoft's reactie

Chris Wojahn, Senior Escalation Engineer probeert ondertussen de woede op de fora te sussen. "We begrijpen de zorgen over de wijzigingen die wij gemaakt hebben aan de Security Update Guide die de verschillende KB's uit het verleden hebben vervangen. Wij hebben dat gedaan omdat wij van individuele updates op cumulatieve updates overstappen."

Wojahn's uitleg staat echter haaks op wat Microsoft vorig jaar claimde: "Onze klanten hebben gevraagd om een betere manier om update-informatie te bereiken."

Microsoft heeft nooit de dood van de bulletins gelinkt aan diens eerdere beslissing om individuele patches te elimineren en daarvoor in de plaats alleen cumulatieve beveiligingsupdates voor alle versies van Windows te pushen. In plaats daarvan hebben ze het consumenten alleen maar moeilijker gemaakt. Die vragen zich nu af waarom Microsoft het moeilijker heeft gemaakt om informatie te vinden, zegt Chris Goettl, product manager van patch management leverancier Ivanti.

Microsoft heeft inmiddels een FAQ gepost over de nieuwe portal en het bijbehorende dashboard.