Tijdens een persconferentie heeft Mike Reavey van Microsoft’s Security Response Center toegegeven dat niet alle gevonden en gepatchte bugs bekend worden gemaakt. Het bedrijf dat de ‘stille’ patches begin mei ontdekte geeft aan dat het stilhouden van patches ongewenst is.
Core Security Technologies, het bedrijf dat de stille lekken constateerde, geeft aan dat het stilhouden van patches negatieve gevolgen kan hebben. Het is voor beheerders niet duidelijk dat sommige patches meerdere lekken dichten, ze missen essentiële informatie om het uitrollen van patches te prioriteren. Eén patch die drie aanvalsroutes dekt, zal immers een hogere prioriteit krijgen dan één patch die er een enkele aanvalsroute dekt.
Mike Reavy gaf aan dat het stilhouden van patches al langere tijd gebeurd bij Microsoft. Patches die op vergelijkbare wijze misbruikt kunnen worden en op dezelfde wijze te pareren zijn, worden niet altijd allemaal apart vermeld. Opmerkelijk is dat Microsoft in het verleden vaker de betrouwbaarheid en beveiliging van browsers en besturingssystemen heeft gemeten op basis van het aantal bugs. Producten van Microsoft zoals IE en Vista kwam mede hierdoor beter uit de bus als de producten van de concurrentie.
Adobe hanteert een vergelijkbaar beleid. Kwetsbaarheden die tijdens interne tests worden gevonden, worden door Adobe niet als bugs gerapporteerd.
12 uur geleden
