Beheer

IT beheer
Windows Update

Microsoft: Windows-update via appstore was uitzondering

En Microsoft verwijdert Windows Server uit lijst van kwetsbare software.

Windows Update © CC BY 2.0 - Flickr.com Christiaan Colen
3 juli 2020

En Microsoft verwijdert Windows Server uit lijst van kwetsbare software.

De twee noodupdates voor Windows die via de Microsoft Store automatisch zijn gedownload en geïnstalleerd, vormen een uitzondering. Het gaat om kwetsbaarheden in een Windows-component dat zelf via de appstore is geïnstalleerd. De twee stilletjes geïnstalleerde fixes vormen geen nieuw patchbeleid voor Windows. "Dit betreft alleen voor gebruikers die HEVC hebben geïnstalleerd via de Store. Er verandert verder niets aan de update- en distributie-policy."

Een Microsoft-woordvoerder reageert op vragen van AG Connect over de stille installatie van twee fixes voor twee kritieke kwetsbaarheden in Windows. Het gaat om patches die out-of-band zijn uitgebracht, dus buiten het reguliere updateritme van Microsoft. In de regel neemt de softwaremaker een dergelijke uitzondering op zijn maandelijkse Patch Tuesday alleen als er hoge nood is, bijvoorbeeld vanwege misbruik in de praktijk van een kwetsbaarheid. Daar is in dit geval echter geen sprake van, heeft de softwareleverancier gelijk al gesteld.

Via de appstore

Een ander opmerkelijk feit is dat deze twee noodpatches niet via Windows Update zijn aangeboden. Het reguliere updatedistributiekanaal van Microsoft is 'vermeden' en in plaats daarvan is de Microsoft Store gebruikt. Die Windows-app voor het downloaden en updaten van Windows-apps heeft nu dus twee out-of-band fixes gebracht voor twee beveiligingsgaten in Windows.

De kwetsbaarheden in kwestie zitten in het multimedia-onderdeel Windows Codecs Library en dan specifiek de optionele HEVC-codecs (High Efficiency Video Coding). Laatstgenoemde, wat ook als 'HEVC from Device Manufacturer' aanwezig kan zijn, is dus niet standaard geïnstalleerd op Windows. Microsoft stelt dan ook in de later toegevoegde FAQ onderaan de supportdocumentatie dat Windows níet kwetsbaar is in de default configuratie.

Het HEVC-component is indien aanwezig geïnstalleerd via de Microsoft Store, waar updates voor apps normaliter ook automatisch vandaan komen; en gedownload én geïnstalleerd worden. "Deze updates zijn voor optionele apps/componenten die aan klanten worden aangeboden als een download via de Microsoft Store", stelt het bedrijf in de FAQ. Die extra verduidelijking is een dag na de initiële publicatie van de patchinformatie toegevoegd, voor beide noodpatches.

Toch geen Windows Server

Opvallend is nog dat op de tweede dag na de initiële publicatie Microsoft een correctie heeft doorgevoerd. Naast Windows 10 blijkt Windows Server 2019 toch níet kwetsbaar te zijn. De serveruitvoering van Windows, die eerst wel werd genoemd in de supportdocumentatie, is dan ook niet voorzien van de twee updates. Microsoft heeft Windows Server dus verwijderd uit de twee security advisories. "Dit is alleen een informatiewijziging", luidt de opmerking over deze revisie.

In reactie op vragen van AG Connect of deze patchdistributie - en automatische installatie - via de appstore een nieuw beleid inluidt, antwoordt Microsoft ontkennend. Een woordvoerder verklaart: "Dit betreft alleen voor gebruikers die HEVC hebben geïnstalleerd via de Store. Er verandert verder niets aan de update- en distributie-policy". Er is dus geen sprake van het ontlasten of 'ontwijken' van Windows Update als mechanisme voor het distribueren van patches. Hetzelfde geldt voor zakelijke updatebeheeropties als WSUS en Microsoft Configuration Manager.

Dus niet à la Android

De afgelopen jaren is Android-maker Google meer en meer overgegaan tot updatedistributie via zijn appstore, de Play Store. Dit is ter bestrijding van de fragmentatie van het mobiele besturingssysteem, waarvan in de praktijk vele oudere versies nog in gebruik zijn. Ruim een jaar geleden is Google in Android-versie Q overgegaan tot het testen van systeemupdates via de Play Store. Dit was specifiek voor de Google-eigen Pixel-smartphones.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.