Microsoft stopt met vooraankondiging beveiligingsupdates

[Captain Kirk]

Microsoft gaat na jaren stoppen met de vooraankondiging van beveiligingsupdates die op patchdinsdag zullen verschijnen. Al jaren lang publiceert Microsoft via de Advance Notification Service (ANS) en het eigen blog een overzicht van de updates die tijdens de patchdinsdag van de betreffende maand zullen verschijnen. Zo werd het aantal updates vermeld en de software waarvoor ze zouden verschijnen.

Zodoende konden systeembeheerders alvast rekening houden, hoewel specifieke details over de te patchen kwetsbaarheden niet werden vermeld. Deze vooraankondiging vond altijd plaats op de vrijdag voor de tweede dinsdag van elke maand. De softwaregigant laat weten dat het de ANS-informatie niet meer via het eigen blog en website beschikbaar maken. De informatie zal voortaan alleen voor "Premier" klanten beschikbaar zijn en organisaties die bij de securityprogramma's van Microsoft betrokken zijn.

Reden

Als reden geeft Microsoft dat veel grote organisaties ANS vanwege verbeterde test- en uitrolmogelijkheden niet meer gebruiken op de manier zoals ze dat vroeger deden. Daarnaast zouden de meeste klanten gewoon op patchdinsdag wachten of helemaal geen voorbereidende actie ondernemen en de updates gewoon volautomatisch laten installeren.

"Meer en meer klanten zoeken naar op maat gemaakte informatie voor hun organisaties. In plaats van ANS te gebruiken voor het plannen van de uitrol van beveiligingsupdates, kijken klanten steeds vaker naar tools als Microsoft Update en updatemanagementtools zoals Windows Server Update Service om de uitrol te organiseren", zegt Microsofts Chris Betz.

Consumenten en organisaties die toch nog informatie willen ontvangen worden doorverwezen naar MyBulletins, een gepersonaliseerde patchdienst waarbij gebruikers over een Microsoft-account moeten beschikken en kunnen aangeven welke Microsoft-software ze gebruiken. Vervolgens kan men een overzicht van beschikbare Security Bulletins bekijken. Het gaat hier echter om informatie die pas verschijnt als de beveiligingsupdates verschijnen. Er wordt geen informatie vooraf verstrekt.

 

 

bron: security.nl

 

 

[Captain Kirk]

Kritiek op Microsoft wegens schrappen ANS update-informatie

De beslissing van Microsoft om informatie over aankomende beveiligingsupdates niet meer vooraf openbaar te maken heeft voor kritiek van IT-experts gezorgd. De softwaregigant liet donderdag weten dat het met de Microsoft Security Bulletin Advance Notification Service (ANS) ging stoppen.

Via de Service gaf Microsoft op de vrijdag voor patchdinsdag een overzicht van de updates die de dinsdag erna zouden verschijnen. Het ging dan om het aantal te verschijnen updates, de ernst van de verholpen kwetsbaarheden en de getroffen software. Op deze manier konden systeembeheerders en organisaties alvast bepalen welke updates de hoogste prioriteit moesten krijgen.

Verschillende media hebben het nieuws van Microsoft verkeerd geïnterpreteerd en laten weten dat Microsoft geen informatie meer over beveiligingsupdates geeft. Dit is onjuist. Elke tweede dinsdag geeft Microsoft nog steeds een overzicht van beschikbare updates en verholpen kwetsbaarheden. Alleen de vooraankondiging wordt niet meer openbaar gemaakt. Die zal voortaan alleen met "Premier" klanten worden gedeeld.

Informatie

Volgens de softwaregigant zouden met name grote bedrijven de informatie van ANS anders gebruiken dan voorheen en de prioriteit van de updates op andere manieren bepalen. Het Internet Storm Center laat weten dat nog veel experts en security professionals bij het plannen van de updatecyclus naar de ANS-informatie kijken. Beheerders zullen dat proces dan ook nu moeten aanpassen. Informatie over de updates zal namelijk pas bekend worden als de updates zelf verschijnen.

"Slecht idee en verkeerde beslissing om dit voor het publiek te verbergen", zegt één van de critici op Twitter. Een ander merkt op dat het informeren van gebruikers belangrijk is, terwijl weer een ander laat weten dat het beperken van de informatie de veiligheid aantast. Eén iemand vraagt zich echter af of op deze manier aanvallers misschien minder informatie vooraf krijgen. Microsoft heeft zelf nog niet op de ontstane ophef gereageerd. Wel zal de softwaregigant aanstaande dinsdag 13 januari met de eerste beveiligingsupdates van 2015 komen.

 

bron: security.nl