Advarer mot uoffisielle sikkerhetsfikser

ISS mener det er bedre å ha sårbare systemener enn å installere uoffisielle sikkerhetsfikser.

Internet Security Systems (ISS) advarer nå selskaper mot å benytte sikkerhetsoppdateringer fra tredjepartsleverandører for å tette sikkerhetshull i programvare fra en annen leverandør. Årsaken er at primært faren for brudd på lisensavtalen til programvaren.

Spesielt sårbarheter som ikke blir kjent for programvareleverandøren før også resten av verden får vite om dem, vekker i blant bekymring, fordi systemet da vil kunne være sårbart i ganske lang tid før en sikkerhetsfiks fra leverandøren blir tilgjengelig. Dette har ført til at enkelte tredjepartsleverandører har begynt å tilby patcher som kan benyttes mens man venter på de offisielle patchene fra programvareleverandørene.

- Mange kjenner presset for heller å bruke en uoffisiell patch enn å stå eksponert for en angriper, sier Dick Jacobsson, nordensjef i ISS, i en pressemelding.

Uoffisielle patcher krenker som regel programvarens lisensavtale, skriver ISS. Dette vil lede til at man sitter med programvare som ikke støttes av leverandøren.

    Les også:

- Årsaken til at en leverandør som Microsoft bruker en del tid på å slippe en patch, er at de må sikre kvalitet og systemintegritet for en rekke ulike kombinasjoner av servicepakker til Windows, internasjonale utgaver og maskinvareplattformer. De uoffisielle patchene fra tredjepartsorganisasjoner er opportunistiske PR-tricks snarere enn seriøse sikkerhetsfikser, hevder Gunter Ollmann, direktør for ISS X-Force.

Til toppen