微软的铃声补丁延迟可能会造成风险
微软决定将其2月份的2月份捆绑在于3月份的人,这是至少一些安全专家不同意的举措。
“我很惊讶地知道微软想要在整个月内推迟,”漏洞情报公司风险安全的漏洞安全,通过电子邮件,Carsten Eiram表示。“即使在不知道所有细节,我发现这么难以理解的决定。他们了解其产品中的漏洞,并开发了修复;这些应该始终及时向客户提供。“
微软周二宣布,由于可能对客户产生影响的“最后一刻问题”,本月的补丁必须延迟这个月的补丁。该公司初始没有指定修补程序将被推迟多长时间,这可能会在某些系统管理员中扔扳手“补丁部署计划。
当主要供应商释放其补丁时,企业需要提前了解,因为他们仔细规划了他们如何在其网络上测试和部署数千台服务器和工作站的更新。
这就是为什么许多软件供应商都有常规修补程序计划。对于Microsoft,Adobe,SAP和一些其他公司,修补程序的发布在每个月的第二个星期二,在行业中已知为更新或修补程序周二,这一日期为期一天。
周三,Microsoft更新了其原始公告,以指定2月份的补丁已被推回一个月,并将于3月14日发布,这是下一个补丁周二。
它不清楚迫使微软采取这项决定的哪些问题,但有些人推测其更有可能与Windows Update基础架构而不是一个有问题的补丁。
2月被认为是Microsoft的第一个月,当时在一个名为Security更新指南的新门户网站上发布有关漏洞和补丁的信息,而不是在安全公告中组织它,因为它已经在近二十年中进行。
去年,该公司还切换到提供Windows 7和Windows 8.1安全更新的新模型,该更新将镜像用于Windows 10的那个。因此,安全补丁现在在每个OS版本的累积更新中捆绑在一起,而不是icied地传递。
EIRAM感觉到,从安全角度来看,推迟整个月的所有补丁都没有将微软的客户有利。
“在我看来,可以证明推迟修复的唯一原因是如果发现最后一分钟介绍了严重问题,而不是正确解决问题或类似的问题,”他说。“在这种情况下,仍应释放其他修复。如果微软的新出版物系统存在问题,他们应该使用旧方法推动2月的公告和补丁,如果是一个选择。“
Google Project Zero在Windows GDI32.dll组件的内容泄露漏洞的详细信息周三,因为该漏洞超过了90天披露截止日期。尚未确认,但它可能在本月的修补程序周二之前应该修复这个缺陷。
两周前公开披露微软在SMB网络文件共享协议的实施中的另一个漏洞。如果攻击者将它们连接到发送特殊制作响应的SMB服务器,则可以利用该缺陷来崩溃Windows计算机。找到漏洞的研究人员声称微软计划在2月份修补它。
“自然地,我没有凭借微软的决定背后的所有信息,但在表面上,我认为推迟整整一个月听起来像一个非常糟糕的电话,”Eiram说。