Microsoft har i ti år kommet med lappesaker til sikkerhetshull i selskapets programvare på den andre tirsdagen i hver måned.

«Patch Tuesday» er ti år

Microsoft feirer jubileet med å betale ut rekorddusør.

Den 9. oktober i 2003 avduket Steve Ballmer, Microsofts toppsjef, en ny og utvidet sikkerhetspolitikk for selskapets produkter. På dette tidspunktet var bruken av særlig Windows langt mer risikabel enn i dag, blant annet på grunn av stadig nye dataormer som utnyttet sårbarheter i operativsystemet.

En viktig del av Microsofts nye sikkerhetspolitikk høsten 2003 var det som har blitt hetende «Patch Tuesday». Alle sikkerhetsfikser som Microsoft lager i løpet av en måned, blir vanligvis gitt ut via Windows Update på én og samme dag, den andre tirsdagen i hver måned. Hensikten med dette først og fremst å forenkle hverdagen til IT-avdelinger som skal rulle ut sikkerhetsoppdateringene på mange maskiner, gjerne etter å ha testet dem først. Med en fast dag i måneden, i stedet for helt vilkårlige tidspunkter, ble dette opplevd som enklere for mange.

Angrep

Ulempen med ordningen er at brukerne vanligvis ikke får tilgang til sikkerhetsfikser til Microsoft-produktene så raskt som de i teorien kunne, men må vente til den neste patche-tirsdagen. Dette gjelder ofte også sårbarheter som allerede er kjente, og i noen tilfeller også sårbarheter som er under angrep. Dette gjelder blant annet en sårbarhet ( CVE-2013-3897) i Internet Explorer, som ble fjernet i går, omtrent tre uker etter at det ble kjent at den blir benyttet i faktiske angrep.

Det er uklart hvor mye den nevnte IE-sårbarheten har blitt utnyttet. Microsoft har noen ganger gitt ut sikkerhetsfikser utenom den faste dagen, men bare dersom selskapet har vurdert at farene for angrep har vært svært store. I dette tilfellet kom selskapet i september bare med en midlertidig løsning som i praksis deaktiverer støtten for kjøring av blant annet JavaScript i nettleseren. Den hindret utnyttelse av sårbarheten, men få nettsteder fungerer godt uten JavaScript i dag.

Åtte oppdateringer

Microsoft kom i går med i alt åtte sikkerhetsoppdateringer. Disse fjerner alvorlige sårbarheter i produkter som Windows, Office og Silverlight, i tillegg til en rekke i IE6 og nyere.

Dusør

Microsoft kunngjorde i går at selskapet også for første gang har utbetalt en dusør i selskapets Microsoft Mitigation Bypass Bounty-program, som ble etablert i juni i år. Dusøren på 100 000 dollar utbetales til personer som greier å omgå alle sikkerhetstiltakene i den til enhver tid nyeste utgaven av Windows. James Forshaw i selskapet Context Information Security var den første som kunne innkassere denne dusøren. Microsoft har foreløpig ikke beskrevet hva teknikken går ut på, siden selskapet ennå ikke har kommet med mottiltak.

Forshaw skal forøvrig også ha rapportert om sårbarheter i testversjoner av Internet Explorer 11, noe Microsoft også har betalt ham noen dollar for. I alt skal selskapet ha betalt ut 128 000 dollar i dusører siden juni.

    Les også:

Til toppen