Softwarereus Microsoft stopt met het vooraf delen van informatie over kwetsbaarheden en patches via een openbare maandelijkse update. Daarmee komt na ruim tien jaar tijd een einde aan de bekende opzet van de Patch Tuesday van het bedrijf. Volgens de leverancier is die opzet niet meer van deze tijd en vragen beheerders steeds vaker om patches die specifiek zijn toegesneden op hun organisatie. Critici balen van de nieuwe opzet, laten ze op verschillende fora weten.
Chriz Betz van het Microsoft Security Response Center meldt in een blog dat het softwarebedrijf de strategie rondom de patches heeft gewijzigd. Volgens Betz sluit de nieuwe opzet beter aan bij de huidige dreigingen en de aanpak van kwetsbaarheden. Hij stelt dat klanten steeds vaker vragen om een persoonlijke aanpak van kwetsbaarheden.
De informatie over kwetsbaarheden die maandelijks plaatsvond, wordt dus geschrapt. Critici klagen dat de leverancier extra inkomsten wil genereren door updates voor kwetsbaarheden als betaalde dienst aan te bieden. Er wordt een uitgebreide support-dienst opgezet die klanten van een persoonlijk advies voorziet dat is toegesneden op hun Microsoft-omgeving.
Gratis
Volgens de leverancier kunnen gebruikers echter ook gratis kennis blijven nemen van de patches. Daarvoor moeten ze zich wel eerst registreren. Via de dienst myBulletins kunnen afnemers van Microsoft-software gratis aankondigingen over updates en patches blijven ontvangen. Daar moeten ze aangeven over welke software ze informatie willen ontvangen.
Microsoft licht toe dat het in uitzonderlijke gevallen wel via een algemene update het publiek inlicht over kwetsbaarheden, maar laat die melding afhangen van de omvang van de dreigingen.
Grappig, dus de consumenten-eindgebruikers mogen zich nu verheugen in een gepersonaliseerde patchronde?
Of slaat dit alleen op de grootverbruikers dus bedrijven en zullen de consumenten nog steeds middels patch-Tuesdays worden bijgewerkt?
Dat blijft een beetje onduidelijk in dit stuk.
REDACTIE:
Dit is volgens mij niet correct: het moet zijn M$ stopt met berichtgeving over kwetsbaarheden, niet met de patches zelf op dinsdag.
Lees s.v.p. de blog nog eens. mvg Robbert
Ze stoppen helemaal niet met de patches. Ze stoppen met de Advance Notification Service (ANS), oftewel de service waarmee de patches aangekondigd worden. Er wordt nergens vermeld dat Update Tuesday gaat stoppen.
Engagement manager Chriz Betz van MS stelt dat klanten steeds vaker vragen om een persoonlijke aanpak van kwetsbaarheden?
Wij hebben niet om deze wijziging gevraagd en kennen niemand die daarom gevraagd heeft. We vinden het van de gekke dat je moet betalen voor de informatie over tekortkomingen in MS producten. Wel kennen we veel klanten die gewoon informatie willen krijgen zonder een hoop gedoe. Ze zijn niet allemaal Premier customers met een Advance Notification Service.
M.i. een stomme zet vanuit een M$ optiek.
Zie http://blogs.technet.com/b/msrc/archive/2015/01/07/evolving-advance-notification-service-ans-in-2015.aspx
Nogmaals@REDACTIE:
Pim schrijft: “Daarmee komt na ruim tien jaar tijd een einde aan de bekende Patch Tuesdays van het bedrijf.”
Mijn mening: Stoppen=Einde (En dat staat niet in de blog)
mvg Robbert
Ik ben het met Robbert eens: er staat toch duidelijk op meerdere plaatsen in dit artikel dat MS stopt met openbare patches (-ronde of -update variant).
Dit is allemaal erg verwarrend. Ik snap nu niet waar MS mee stopt.
Het is inderdaad wel een onduidelijk stukje berichtgeving met een (sensatie?) kop die suggereert dat het patchen zou stoppen.
Dan even over het stuk.
Ze gaan dus niet meer algemeen informeren naar jan en alleman, maar meer specifiek tegen betaling ? Als alles, buiten deze verandering, hetzelfde blijft wie boeit het dan ?
Zie het als SaaS, ik wil gewoon dat mijn product het doet en als men daarvoor moet patchen van tijd tot tijd vind ik het prima.
Redactie: ik heb net de blog gelezen en ben het met Robbert eens.
In de blog staat dat gestopt wordt met ANS, de openbare berichtgeving voorafgaande aan patch tuesday, niet met het patch Tuesday zelf. Sterker nog, in de blog wordt aangegeven dat velen de ANS niet meer lezen maar wachten op patch tuesday (met of zonder WSUS om het patchen binnen organisaties te beheren) en daarom onder andere stopt MS met ANS openbaar aan te bieden.
Ik weet niet wat de redactie leest, maar ik lees letterlijk:
“Softwarereus Microsoft stopt met het delen van patches voor kwetsbaarheden via een maandelijkse openbare update. Daarmee komt na ruim tien jaar tijd een einde aan de bekende Patch Tuesdays van het bedrijf.”
Er staat dus wel degelijk dat Microsoft stopt met de patches, en dat is niet wat Microsoft op hun blog meldt.
Eens met Robbert en Cpt
Er staat “Softwarereus Microsoft stopt met het delen van patches voor kwetsbaarheden via een maandelijkse openbare update” Als de redactie vindt dat er wat anders staat moet ze het artikel terugtrekken en het anders opschrijven. Niet een beetje onduidelijk, maar heel veel onduidelijk. Hier hebben we niks aan. Welles nietes discussie over wat er staat.