6 lat łatania Microsoftu: 400 biuletynów, 745 luk

Właśnie minęło sześć lat od momentu, w którym Microsoft zaczął udostępniać uaktualnienia dla swoich produktach w stałym, miesięcznym cyklu. Od października 2003 do przedwczoraj koncern udostępnił w sumie ok. 400 uaktualnień dla swojego oprogramowanie, zaś liczba usuniętych błędów sięgnęła 745.

Ponad połowa wszystkich uaktualnień (230) miała status poprawki krytycznej - czyli takiej, która może posłużyć do zdalnego przejęcia kontroli nad systemem (zwykle przy minimalnym udziale użytkownika). Warto odnotować, że z roku na rok rosła liczba wykrywanych błędów - 2009 jest pod tym względem wyjątkowy, do tej pory Microsoftu załatał już ok. 160 luk (w całym roku 2008 było ich 155). Co więcej - w ostatnich 24 miesiącach z produktów koncernu usunięto dwukrotnie więcej błędów niż w latach 2004-2005.

Ostatnim miesiącem, w którym nie pojawiły się żadne uaktualnienia, był marzec 2007 (to było ponad 30 miesięcy temu). Przez minione 6 lat zdarzyły się tylko cztery miesiące, w których koncern nie opublikował poprawek (do dwóch takich przypadków doszło w 2005 r.). Pracownicy firmy odpowiedzialni za łatanie produktów zwykli bywali bardzo zajęci - 10 razy zdarzyło się, że firma załatała jednorazowo aż 20 błędów.

Microsoft łata coraz więcej błędów m.in. dlatego, że przestępcy coraz szybciej są w stanie wykrywać luki i wykorzystywać je do przeprowadzania ataków na użytkowników Windows. Z raportu opublikowanego niedawno przez firmę Qualys wynika, że 80% exploitów pojawia się w zaledwie 10 dni po wykryciu danej luki. A produkty Microsoftu atakowane są wyjątkowo chętnie - dość powiedzieć, że kwietniu tego roku przestępcy w zaledwie kilka zaczęli korzystać z połowy błędów załatanych przez Microsoft w tym miesiącu.

Oczywiście, koncern z Redmond nie był jedyną firmą, która udostępniała ostatnio wiele poprawek - niewiele mniej błędów usunęły ze swojego oprogramowania Apple oraz Oracle. Jednak zdaniem specjalistów to właśnie Microsoft w ostatnich latach najwięcej zainwestował w bezpieczeństwo. "Inne firmy nie widzą potrzeby zwiększania wydatków na ten cel - głównie dlatego, że nikt ich do tego nie zmusza. W branży samochodowej bezpieczeństwo stało się jedną z najważniejszych kwestii, a producenci aut są rozliczani z wszelkich braków w tym zakresie. Producentów oprogramowania nikt nie karze za błędy - więc wiele firm nie przykłada większej uwagi do bezpieczeństwa" - komentuje David Rice, szef firmy konsultingowej Monterey Group i autor książki "Geekonomics: The Real Cost of Insecurity Software".

Niektórzy specjaliści mają już jednak dość ciągłego łatania produktów - nawet, jeśli jest ono niezbędne. "Oczywiście, nie zamierzam ignorować tych wszystkich poprawek. Ale niektóre błędy są naprawdę dziwne - czasami łatane są rzeczy, które już dawno powinny być usunięte. Aż zaczynam się zastanawiać, jak to się stało, że tak długo nikt nie zauważył niektórych problemów. Kiedyś było inaczej - przed laty producenci oprogramowania (m.in. IBM) stosowali zasadę "0 tolerancji dla błędów". Takiego nastawienia brakuje dziś" - mówi David Jordan, szef działu bezpieczeństwa urzędu Arlington County.


Zobacz również