Microsoft está enfrentando críticas ferozes sobre a sua decisão de fazer pré-notificação dos próximos patches disponíveis apenas para assinantes pagos.
O Serviço de Notificação Avançada (ANS), anteriormente feita informações sobre os próximos patches de software disponíveis para o público, mas a partir de agora a informação será restrito a "premier" clientes e alguns outros parceiros selecionados.
Chris Betz, diretor sênior da Microsoft Security Response Center, explicou em um post no blog que a Microsoft estava restringindo a distribuição da aplicação de patches de pré-alerta de um desejo de reduzir a "desordem". Betz argumentou que o aviso de segurança heads-up já não era de muita utilidade para a maioria dos seus clientes.
Estamos a fazer alterações no modo como nós distribuímos ANS para os clientes. Seguindo em frente, vamos fornecer informações ANS diretamente para clientes Premier e organizações atuais envolvidos em nossos programas de segurança, e deixará de fazer esta informação amplamente disponível através de um post do blog e página web.ANS sempre foi otimizado para grandes organizações. No entanto, o feedback do cliente indica que muitos dos nossos grandes clientes não usam mais ANS, da mesma forma que eles fizeram no passado, devido às metodologias de teste e implantação otimizada. Enquanto alguns clientes ainda contam com a ANS, a grande maioria esperar por Atualização terça-feira, ou não tomar nenhuma ação, permitindo atualizações para ocorrer automaticamente.
Mais e mais clientes hoje estão buscando acabar com a desordem e obter informações de segurança sob medida para suas organizações. Ao invés de usar ANS para ajudar a distribuição de atualizações de segurança plano, os clientes estão cada vez mais recorrendo a ferramentas de gerenciamento Microsoft Update e atualização de segurança, tais como Windows Server Update Service para ajudar a organizar e priorizar a implantação. Os clientes também estão se movendo para sistemas baseados em nuvem, que fornecem atualização contínua.
Jon Rudolph, principal engenheiro de software do Núcleo de Segurança, argumentou que, em vez de "apenas eliminando a confusão", a Microsoft está "escondendo a sua segurança do cartão de relatório do público em geral".
"As vulnerabilidades nos ensinar alguma coisa a cada mês cerca de software, segurança, suposições equivocadas, bem como a qualidade do produto, e (indirectamente) as ameaças, se usamos atualmente esse produto ou não", disse Rudolph. "Ao que parece a lista ainda está disponível por um preço, e incentivando os usuários para as novas myBulletins, Microsoft leva algum controle longe dos usuários sobre essa transição."
Ross Barrett, gerente sênior de engenharia de segurança da Rapid7, os desenvolvedores da ferramenta de teste de penetração Metasploit, é ainda mais crítica.
"Isto é um assalto em TI e equipes de segurança de TI em todos os lugares", Barrett comentou. "Fazer essa alteração sem qualquer tempo de chumbo acima é simplesmente ignorando o impacto que isso terá no mundo real. Microsoft é, basicamente, vai voltar a uma mensagem de "apenas confiar cegamente 'que vamos consertar tudo para você. Honestamente, é chocante. "
Na ausência de um pré-aviso publicado, nós não sabemos o que os patches ou quantos vão aparecer na primeira Patch Tuesday de 2015, o que é devido à queda em 13 de janeiro. Querendo ou não, haverá um patch para corrigir uma vulnerabilidade de elevação de privilégios local no Windows 8.1 descoberto pelo Google e publicado no final de dezembro é um ponto-chave de interesse para a próxima semana, como foi observado em um post no blog de Wolfgang Kandek, CTO da Qualys, aqui . ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário