Windows XP SP2 wordt beveiligingsrisico

Wolfgang Kandek, hoofd technologie van Qualys, ziet als voornaamste reden voor het vasthouden aan SP2 dat het in de IT-wereld gebruikelijk is “niet te sleutelen aan iets dat werkt”. Kandek denkt dat het vasthouden aan SP2 vanaf augustus “steeds moeilijker te verdedigen valt”, zei hij tegen Computerworld. De CTO van Qualys verwacht dat binnen 3 tot 4 maanden daarna betrouwbaar werkende malware in omloop komt die de niet-gepatchte lekken in SP2 uitbuit.

De migratie van SP2 naar SP3 in het bedrijfsleven is het laatste jaar wel in een stroomversnelling geraakt. Het tempo in de afgelopen 11 maanden lag ongeveer dubbel zo hoog als in de eerste 14 maanden dat SP3 beschikbaar was, aldus Qualys.

Het Microsoft Security Response Center waarschuwt in zijn blog al sinds februari iedere maand voor de naderende afloop van de ondersteuning van SP2. Die waarschuwing is veel IT-professionals ontgaan, vermoedt Kandek. Microsoft besloot onlangs nog wel beperkte ondersteuning via telefoon en e-mail te bieden voor verouderde producten zoals SP2. Voor die hulp moet per incident worden betaald, tenzij men een supportcontract heeft.

Bedrijven die zijn overgestapt op Windows XP SP3 hebben voorlopig nog genoeg tijd om een migratieplan te maken. Microsoft levert volgens schema nog tot april 2014 patches voor die versie.

Volgens Qualys, dat voor klanten enkele honderdduizenden pc’s beveiligt en beheert, draait in grote ondernemingen nog altijd 80 procent van de pc’s op Windows XP. Dat cijfer ligt een stuk hoger dan in de metingen van NetApplications, dat op basis van websitebezoeken in april op een XP-aandeel van 63 procent komt. De verklaring voor dit verschil is dat de (zakelijke) klanten van Qualys hoofdzakelijk in de VS zitten en dat NetApplications wereldwijd meet, onder zowel bedrijven als consumenten.

Overigent stopt Microsoft op 30 juli ook met de ondersteuning van alle versies van Windows 2000. Gebruikers krijgen dan geen enkele support meer, evenmin als patches.