Wanneer een officiële patch voor een lek in populaire software niet voorhanden is, bieden derde partijen soms tijdelijke oplossingen aan. Maar hoe wenselijk is dat?
Het is vaak een kwestie van uren, wanneer sites als Secunia een veiligheidswaarschuwing afgeven, voordat de bewuste lekken misbruikt worden op dubieuze websites. Snelheid is dus geboden als het gaat om het uitbrengen van een patch. De maandelijkse patchdag van Microsoft ligt daarom onder vuur.
Zo stelt de Windows-leverancier nu een nieuwe patch uit voor een gat dat juist is ontstaan door een afgelopen maand verschenen patch voor Internet Explorer. Een eerder voorbeeld: al op 27 december 2005 was de WMF-bug bij Microsoft bekend, maar het bedrijf stelde een patch uit tot de maandelijkse cyclus, die gepland stond voor 10 januari 2006.
“Het is logisch dat Microsoft patches uitgebreid moet testen alvorens ze uit te brengen”, zegt Ilfak Guilfanov, senior developer bij DataRescue, “maar dat moet geen twee weken duren. Het nieuws over de bug verspreidde zich zo snel, dat het een groot risico vormde.”
Geschrokken van het potentiële gevaar, ontwikkelde Guilfanov een patch voor hemzelf en zijn vrienden en plaatste deze vervolgens ook op zijn weblog – inclusief broncode. Een paar dagen later werd zijn patch overgenomen door onder andere SANS Internet Storm Center en F-Secure en al snel wereldwijd verspreid. Microsoft reageerde door haar patch vijf dagen eerder dan gepland uit te geven.
Geen incident
De WMF-patch was geen incident. Afgelopen maart en april werd een ernstig lek in Internet Explorer op grote schaal misbruikt, terwijl een officiële patch pas op de maandelijkse patchdag verwacht werd. De geschiedenis herhaalde zich toen twee derde partijen, eEye Digital Security en Determina, een patch uitbrachten die het lek dichtte. Microsoft raadde echter het gebruik van patches van derden af, omdat ze mogelijk compatibiliteitsproblemen of nieuwe potentiële lekken konden veroorzaken.
Des te verbazender was het feit dat Microsoft in mei zelf als derde partij met een patch kwam, die een lek in Adobe Flash dichtte. De Flash-player werd gezien als Windows-bug, omdat het pakket standaard met Windows XP en 9x werd meegeleverd.
Wordt het patchen door derden een trend? Guilfanov hoopt van niet. “Patches van derden moeten over het algemeen voorzichtig benaderd worden. Het is lastig in te schatten of een patch te vertrouwen is en of deze doet wat hij moet, of juist zaken verergerd. We vertrouwen de softwareontwikkelaar van wie we het product gekocht hebben. De vraag wie de verantwoordelijkheid draagt voor patches van derden is niet eenvoudig te beantwoorden.“
Kwaliteitscontrole
De reden dat een officiële patch vaak zo lang op zich laat wachten is de uitgebreide ‘kwaliteitscontrole’. Een softwarefabrikant moet zeker weten dat de patch functioneert op verschillende platforms en geen nieuwe problemen veroorzaakt.
Volgens Guilfanov zijn betere ontwikkeltools en testscenario’s een must. “Tien jaar geleden stond beveiliging niet op de agenda bij softwareontwikkelaars. Dat is nu ondenkbaar, maar toch is er nog steeds ruimte voor verbetering.” Maar met meer kwaliteitscontrole was de WMF-bug overigens niet te voorkomen geweest. “Vandaag is het een bug, maar gisteren was het nog een feature”, zegt Guilfanov, doelend op het feit dat de code al vanaf Windows 3.0 aanwezig was.