HP: Softwareleveranciers maken patchen hachelijke onderneming
The hidden dangers of inadaquate patching, heet de Security Briefing waarin HP Security Research de staat van het patchproces analyseert. En de conclusie stemt niet vrolijk: ‘Beveiligingspatches hebben te lang vermijdbare kwaliteitsproblemen gekend.
Shutterstock
Shutterstock
[…] Het is niet langer acceptabel dat patches kwaliteitsproblemen veroorzaken bij standaard geïnstalleerde of algemeen gebruikte software. Hoewel niet verwacht kan worden dat iedere patch perfect is, moet de frequentie van slechte patches worden teruggebracht. Als branche kunnen we gebruikers niet beschermen als ze het patchproces niet vertrouwen.’
Het rapport signaleert vijf problemen met patches die de ontvangers er wars van maken om ze te installeren.
- Patches maken zaken stuk
- Patches introduceren zelf weer beveiligingsproblemen
- Patches doen niet wat ze beloven
- Patches voegen zaken toe waar niet om gevraagd is.
- Er worden ‘stille’ patches verspreid, zonder publiek te maken dat er een patch is verspreid.
Voorbeelden te over
Van alle vijf geeft het rapport recente voorbeelden van deze praktijken in consumentensoftware en zakelijke software van grote softwareleveranciers als Adobe, Apple, Citrix, Microsoft en Oracle – zonder een poging te doen volledig te zijn, of volledigheid te claimen. Van de bekende toolbars, browsers en beveiligingssoftware die naast Adobe-software en Java worden geïnstalleerd als je niet zo alert bent om het vinkje te verwijderen tot het verwijderen van Java 6 bij een patch voor Java 7 – terwijl veel organisaties Java 6 voor bepaalde applicaties ook nog nodig hadden. En van de Microsoft-patch die het op sommige systemen onmogelijk maakte in de toekomst nieuwe patches te ontvangen tot Apples patch voor de Rootpipe-kwetsbaarheid – die makkelijk te omzeilen bleek. En dit is nog maar een greep uit HP’s voorbeelden.
Nog afgezien daarvan maken softwareleveranciers hun klanten het patchen tegen door te pas en te onpas om een reboot te vragen na patchen. Vooral Windows is hierom berucht. In april van dit jaar vroegen 4 van de 11 patches om een reboot, en moest na het aanbrengen er van nog eens 6 mogelijk herstart worden. En dat terwijl geen van de patches betrekking had op de Windows-kernel, zodat in principe patchen zonder herstart mogelijk zou moeten zijn. Dat heeft ook consequenties. Organisaties met kritieke toepassingen zetten om die reden auto-update uit, om te voorkomen dat pc’s op ongecontroleerde momenten beginnen te herstarten. En dat leidt weer tot ruimere kansen voor hackers.
Patchen problematisch geworden
Opgeteld maken deze aspecten patchen voor consumenten en zeker voor organisaties een hachelijke onderneming die betrokkenen met een mengeling van angst en frustratie bezien. Daar ligt een duidelijke taak voor de software-industrie, meent HP Security Research. Door open en transparant te zijn over patches, en te zorgen dat patches goed getest zijn en geen verrassingen opleveren. Dat wordt alleen maar belangrijker met de komst van het Internet of Things, dat de gevolgen van fouten in patches een orde van grootte zal doen toenemen. ‘No one can stop the future from coming. Let’s just hope we can patch it when it gets here’, verzuchten de opstellers van het rapport in hun uitsmijter.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee