Microsoft licht stille updates toe
Microsoft verduidelijkt zijn motieven om bepaalde kwetsbaarheden te dichten maar niet in een beveiligingsbulletin op te nemen.
Dergelijke stille updates worden al jaren uitgerold samen met de openbare beveiligingsupdates, maar ze worden praktisch nooit opgemerkt. Alleen beveiligingsexperts die de updates ontmantelen via reverse engineering kennen de details.
Varianten van bekende bugs
“Het gaat doorgaans om door ons ontdekte bugs die nauw verwant zijn aan publiek bekende kwetsbaarheden die wel in de bulletins vermeld worden”, verduidelijkt beveiligingsexpert Gavin Thomas op de Microsoft Security Research and Defence-blog.
[related_article id=”161452″]
Een kwetsbaarheid in een beveiligingsbulletin krijgt volgens Thomas ook altijd de risicorating van de gevaarlijkste variant die door Microsoft ontdekt werd. Hetzelfde geldt voor de rating die aangeeft hoe moeilijk het is om een lek uit te buiten. Die wordt verhoogd als Microsoft nieuwe varianten ontdekt.
Enkel publiek bekende bugs vermelden
Volgens Thomas is de CVE-database, waarin bekende kwetsbaarheden worden opgesomd, een index voor publiek bekende veiligheidsproblemen. Hij vindt dan ook niet dat Microsoft verplicht is om de lekken die het zelf ontdekt heeft te openbaren in de CVE-database of de beveiligingsbulletins. Dat meldt The Register.
