De vorige week met spoed uitgebrachte patch voor Internet Explorer is de tweede afwijking van Microsofts maandelijkse patchronde. Het is enerzijds pas de tweede keer in achttien maanden, maar anderzijds al de tweede keer in één kwartaal.
Microsoft wijkt alleen in zeer kritieke gevallen af van zijn maandelijkse schema voor het uitbrengen van patches. De vorige week verschenen patch voor alle versies van Internet Explorer is zo'n uitzondering. De Windows-producent geeft het hiermee afgedichte beveiligingslek het label ‘kritiek', wat de zwaarste categorie is van Microsofts vierdelige security-indeling.
Dit is de tweede keer in anderhalf jaar dat Microsoft met een zogeheten ‘out of band'-patch komt. Het is tegelijkertijd de tweede keer in één kwartaal. Tom Welling van security-leverancier Symantec is hierdoor niet gelijk verontrust: "Het laat in ieder geval zien dat er nog veel werk is te verrichten." Er valt hieruit niet te concluderen dat kritieke gaten en de daarvoor verschijnende ‘uitzonderingspatches' vaker of sneller na elkaar voorkomen.
Snelle reactie
Beveiligingsexperts zijn positief over de snelheid waarmee de patch is gemaakt én uitgebracht. Microsoft heeft het ontdekte gat snel geverifieerd, bevestigd en er enkele maatregelen tegen (workarounds) gepubliceerd. Vervolgens zijn de ontwikkelaars van het bedrijf hard aan de slag gegaan.
In het verleden heeft Microsoft nogal eens kritiek gehad omdat het de tijd nam voor patches. Die software moet echter ook getest worden, wat tijd kost. Het is dan ook wel eens gebeurd dat een patch naderhand gepatcht moest worden. Een enkele andere keer had het bedrijf een patch al klaar, of nagenoeg klaar, maar werd die vastgehouden tot de volgende patchronde.
In oktober ook al
De vorige keer dat Microsoft een patch eerder uitbracht, was in oktober dit jaar. Het ging toen om een lek in Windows zelf, dat al actief werd misbruikt door malware. Dat gat zat in de server-service die alle Windows-versies en uitvoeringen hebben, onder meer voor bestandsdeling over lokale netwerken.
In de maanden daarvóór heeft de softwareproducent zich strak aan het zelf opgelegde schema gehouden. Dat maandritme is in 2005 ingevoerd om beheerders regelmaat te bieden. Daarmee worden meer patches eerder geïnstalleerd, dan wanneer die telkens onverwachts en eventueel ook kort na elkaar uitkomen.
Net na patchronde
Het huidige gat in IE is ontdekt net nadat Microsoft een forse lading patches heeft uitgebracht in zijn maandelijkse patchronde. Het bedrijf dicht met die acht patches maar liefst achtentwintig kwetsbaarheden. Daarvan zijn drieëntwintig als ‘kritiek' bestempeld door Microsoft zelf. Dat is de hoogste categorie in de viertraps indeling van de leverancier. Zowel het aantal gedichte gaten als het aantal kritieke daarvan zijn nieuwe records, sinds de softwareproducent vijf jaar geleden het maandelijkse patchritme heeft ingevoerd.
Snelle infectie
In het weekend direct na de ontdekking van het lek neemt ineens de hoeveelheid malware voor dat gat ineens fors toe. Microsoft zelf schat dat er net na dat weekend zo'n twee miljoen pc's zijn besmet. Dat is gemeten naar het totale aantal Windows-computers niet veel, maar de uitbreidingssnelheid van de infectie is wel flink.
De malware is vooral gedistribueerd via geïnfecteerde websites. Die verspreiding is begonnen in Azië. Volgens security-leverancier Trend Micro zijn er net na het weekend zeker tienduizend websites geïnfecteerd met malware voor dit IE-gat. Windows-gebruikers hoeven maar zo'n besmette site te bezoeken om besmet te raken. Kwaadwillenden kunnen dan pc's overnemen, wachtwoorden en creditcardgegevens buitmaken en de gekaapte pc's inzetten voor de verspreiding van meer malware of ook spam.
Tip: blijf bij
Microsoft biedt beheerders en gebruikers standaard al diverse beveiligingstips. Één van de belangrijkste daarvan is het bijblijven met patches en antivirusupdates. Op het security-deel van Microsofts website staat nu dan ook de vorige week uitgebrachte ‘out of band'-patch in de ‘spotlight'.
Overigens loopt de Nederlandse tegenhanger van die security-site nogal achter: daar wordt service pack 2 (SP2) voor Windows XP nog genoemd als essentiële beveiligingsinstelling. Het in 2004 verschenen SP2 heeft weliswaar veel verbeteringen op het gebied van security gebracht, maar is begin dit jaar opgevolgd door SP3.
Toch mooi – deze ontwikkeling – om te zien hoe spyware / malware / virus programmeurs de software fabrikanten een dienst bewijzen.
Ze helpen om de beveilings gaten in hun software te erkennen, te dichten en hun software in topconditie te houden.
Mooie win-win situatie en goed voor de consumenten van deze fabrikanten, want die varen er wel bij… betere en veiligere software.