Salakorjauksista voi tulla ongelma
19
Turvatutkijat ovat löytäneet salaa korjattuja turva-aukkoja Microsoftin huhtikuun päivityksistä. Salakorjausten käytäntö on melko tavallinen, mutta asiassa on haittapuoli.
Microsoft ja lukuisat muut kaupalliset ohjelmistotalot ilmoittavat julkisesti vain muiden löytämistä turva-aukoista. Suuri osa turva-aukoista on kuitenkin yhtiöiden itsensä löytämiä, ja ne korjataan tyypillisesti salaa. Korjaukset yhdistetään samaan pakettiin jonkin julkisen turva-aukon paikkauksen kanssa.
Tietoturvayhtiö Core Security Technologies on löytänyt tällaisia salakorjauksia Microsoftin huhtikuun MS10-024-turvapäivityksestä.
Päivityksen julkisten tietojen mukaan se korjasi tärkeäksi luokiteltuja turvaongelmia Microsoft Exchange -työryhmäpalvelimessa sekä Windowsin smtp-palveluissa. Tarkemmassa tutkimuksessa päivityksestä löytyi myös kaksi korjausta ilmoitettua vakavampiin turva-aukkoihin.
Päivitysten todellista tärkeyttä ei tiedetä
Yhtiön mielestä tämä on ongelmallista. Tuotteiden päivittäminen on yrityksissä suuri urakka, ja päivityksiä asennetaan niiden tärkeyden mukaan. Vähemmän tärkeiksi luokitellut päivitykset voivat todellisuudessa sisältää paljon tärkeämpiä korjauksia, mutta yritykset eivät tiedä niistä.
Yritysten on hyvä muistaa tämä päivityksiä asennettaessa. Kaikki päivitykset kannattaa mahdollisuuksien mukaan asentaa, koska ne saattavat sisältää paljon useampia ja tärkeämpiä korjauksia kuin julkisesti tiedetään.
