Vorige maand meldde IBM’s beveiligingspoot ISS X-Force in een rapport dat niet alleen het aantal kwetsbaarheden in software in het algemeen is gedaald, maar ook dat Microsoft niet langer de softwareleverancier is met de meeste, publiekelijk bekende lekken. Nog maar 3,16 procent van de bekende lekken is te vinden in de software van Microsoft, terwijl Apple de lijst aanvoert met 3,8 procent van de lekken.

Toont deze lichte daling in het aantal security patches aan dat de software van Microsoft veiliger is geworden? “Ik zie weinig verschil. Ik denk dat het een kwestie van toeval is”, zegt Frank Mulder, technisch directeur van Panda Security Benelux. “Er zijn steeds weer andere beveiligingszaken en wie weet hoeveel lekken er nog in hun software zitten die onbekend zijn en op den duur ook gepatcht moeten worden?”

Sean Sullivan, beveiligingsexpert van F-Secure, vindt echter wel dat de kwaliteit van de software van Microsoft vooruit is gegaan. “Zeker met het besturingssysteem gaat het veel beter. Naarmate de service packs en de updates geavanceerder worden, komen er steeds minder lekken in. Zij hebben als extra last dat ze backwards legacysupport geven. Ik moet ze echt nageven dat ze dat heel serieus hebben opgepakt. Oké, vorige maand kwamen ze met een patch voor een lek dat al anderhalf jaar bekend is, maar in het algemeen gaat het goed. Daarbij zal Windows 7 een grote verandering betekenen. Het besturingssysteem is dan veel robuuster. De beveiliging daarvan is vrijwel zeker veel beter dan die van SnowLeopard van Apple.”

Ook Toralv Dirro, security strategist van Avert Labs/McAfee, vindt dat de kwaliteit van de software is verbeterd. “Maar dat zie je niet aan het aantal patches. Want dat zijn er nu misschien minder, maar een veel groter deel is kritieker dan vroeger. Bovendien brengt Microsoft tussendoor ook stilletjes updates uit. De kwaliteitsverbetering is meer te danken aan onderzoekers die verbeteringen hebben aangebracht waardoor het moeilijker is geworden lekken te misbruiken.”
Het recordaantal patches dat Microsoft deze week uitbracht, betreft lekken in Internet Explorer, Silverlight, Microsoft Office, Developer Tools, Forefront en SQL Server. Daarnaast bevat deze ronde de eerste patches voor Windows 7.

Tussen de patches zit een groot aantal uiterst kritieke patches, die zo snel mogelijk verholpen dienen te worden omdat ze al misbruikt worden. Volgens Microsoft geldt dat voor acht van de dertien security bulletins. Daarvan zijn er zes zo kritiek dat geadviseerd wordt ze onmiddellijk te patchen.

De werklast voor beheerders wordt verzwaard doordat Adobe ook nog eens 28 patches uitbracht. De patches van Adobe dichten in elk geval één lek in het pdf-bestandsformat dat al wordt misbruikt. De patches betreffen een groot aantal versies van Reader en Acrobat.

Microsoft brengt al enige jaren elke tweede dinsdag van de maand patches uit. Adobe is er pas in juni dit jaar mee begonnen. In die maand bracht Microsoft ook een groot aantal – 31 – patches uit, terwijl Adobe toen dertien lekken dichtte in zijn software. Deze maand komt het aantal patches opgeteld op 62. Toch zal deze fikse hoeveelheid patches geen grotere problemen opleveren dan anders, zo verwacht Frank Mulder van Panda Security Benelux. “Het is alleen maar goed dat er zoveel mogelijk patches worden uitgebracht. En niet alleen voor Microsoft maar ook voor andere producten. En zeker voor Adobe, want de vulnerabilities daarin worden het meest gebruikt voor het plaatsen van malware.”

Sean Sullivan van F-Secure tilt ook niet zwaar aan het hoge aantal patches. “Voor veel organisaties zijn de patchrondes al van tevoren gepland doordat de patches op een vaste datum komen. En in deze tijd van het jaar is het nog goed te doen om zoveel patches door te voeren. Een jaar geleden bracht Microsoft bijvoorbeeld tussendoor vlak voor de feestdagen een patch uit die ook nog onverwacht kwam. Die is toen heel slecht doorgevoerd doordat men met minder mensen zat.”