Vaste patchdag niet ideaal voor beveiliging

Eddy Willems, beveiligingsspecialist bij Kaspersky, geeft de voorkeur aan de methode van Apple. “Qua beveiliging is het beter patches te laten komen als ze nodig zijn. Soms kunnen patches niet wachten. En een maand wachten op patches vind ik te lang. Een tussenoplossing zou beter zijn: twee keer per maand of zelfs wekelijks op een vast moment patches uitbrengen. Wij brengen zelf ook patches onmiddellijk uit als ze nodig zijn, desnoods elk uur.”Het bestaan van een vaste patchdag, of dat nu wekelijks of maandelijks is, heeft als nadeel dat ook criminelen van deze kennis misbruik kunnen maken. Zo werd deze week op patchdinsdag een valse e-mail uitgestuurd met een trojanvirus daarin, die van Microsoft afkomstig leek. Ook geeft het ze dan kans op zijn minst een maand nieuwe lekken te misbruiken. Graham Titterington, analist bij Ovum, prefereert de vaste patchdag, vooral om het voordeel voor de beheerders. “Dat is zeker beter bij veel patches, maar gaat het om een paar patches, dan is sporadisch patchen ook goed. De beveiliging is er wel meer bij gebaat als er snel wordt gereageerd. Maar de meeste lekken worden pas misbruikt als de patches uit zijn en de hackers er reverse engineering op hebben toegepast.”Overigens komt Microsoft met zijn maandelijkse routine veel vaker met patches dan Apple, dat ook weleens een kwartaal op zich laat wachten. De patches die Microsoft deze week uitbracht, moeten twintig lekken dichten in onder meer Windows Vista, Server 2008, Server 2000 en Office. Daarvan zijn er negen kritiek. Daarbij gaat het om lekken die problemen opleveren in Active Directory, Excel Host Integration Server en Internet Explorer.