Zmiana mechanizmów aktualizacji Windows wywołała problemy

Microsoft odroczył decyzję o ostatecznej rezygnacji z udostępniania biuletynów (Security Bulletins) szczegółowo informujących o tym jakie poprawki będą wprowadzane w co miesięcznych aktualizacjach.

Security Bulletins to publikowany od blisko 20 lat, zestaw informacji przeznaczonych dla użytkowników, głównie administratorów systemów IT, wykorzystujących Windows i inne aplikacje Microsoft takie, jak Office.

Ostatnie biuletyny miały zostać udostępnione w styczniu 2017 roku, ale po problemach z terminowym dostarczeniem zestawu aktualizacji w lutym tego roku, Microsoft zdecydował się na przedłużenie życia biuletynów do marca.

Zobacz również:

Co spowodowało odwołanie lutowego Update (Patch) Tuesday?

W lutym, na kilka godzin przed terminem publikacji pakietu poprawek, Microsoft ogłosił, że aktualizacji tej w ogóle nie będzie w lutym. Zapowiedziane zostało jej dołączenie do pakietu marcowego.

Według wyjaśnień przedstawicieli firmy powodem tej bezprecedensowej decyzji było wykrycie w ostatniej chwili błędu, który mógłby spowodować problemy z działaniem oprogramowania w niektórych systemach. Jaka poprawka to spowodowała i jakie są potencjalne problemy, Microsoft nie sprecyzował.

„Security Bulletins zostaną opublikowane również w marcu 2017, aby dać użytkownikom trochę więcej czasu na sprawdzenie czy są przygotowani do przejścia na korzystanie z portalu SUG” wyjaśniono na blogu Microsoft MSCR (Malicious Software Research Center).

Jednocześnie przedstawiciele firmy uchylają się na razie od udzielenia jednoznacznej odpowiedzi, czy można oczekiwać, że w kolejnych, po marcu, miesiącach biuletyny też będą udostępniane.

„SUG (Security Update Guide) to podstawowe, autorytatywne źródło informacji o aktualizacjach dotyczących bezpieczeństwa i wszyscy użytkownicy, którzy dotąd wykorzystywali Security Bulletins powinni sprawdzić czy są gotowi do odpowiedniej zmiany procesów zarządzania aktualizacjami” odpowiada rzeczniczka Microsoft.

Zamieszanie to wywołuje spekulacje, że kumulacja poprawek sprawiła problemy nie tylko niektórym użytkownikom oprogramowania Microsoft, ale również samej firmie, która nie może w ostatniej chwili zrezygnować z publikacji pojedynczej, wadliwej łaty, a jedynie odwołać cały pakiet poprawek, jak to miało miejsce w lutym.

SUG zamiast Security Bulletins

Decyzja o zaprzestaniu publikacji Security Bulletins spotkała się z krytyką wielu użytkowników, którzy z nich korzystali. Argumentowali oni, że publikowane do tej pory dokumenty (opisujące szczegółowo, co znajdzie się w kolejnym zestawie poprawek) były cennym źródłem informacji o tym, co w tak ważnym obszarze, jakim jest bezpieczeństwo systemów IT, aktualnie się dzieje. W praktyce jednak nie zostali pozbawieni informacji, a jedynie muszą się przyzwyczaić do korzystania z serwisu SUG.

Zaprzestanie publikacji biuletynów nie oznacza, że administratorzy i użytkownicy zostaną pozbawieni informacji o łatach i modyfikacjach wprowadzanych do oprogramowania Microsoft. Biuletyny mają zostać zastąpione przez portal SUG (Security Updates Guide) zawierający bazę danych z wszystkimi dokumentami dotyczącymi poprawek oraz udostępniający mechanizmy umożliwiające jej przeszukiwanie.

Dokumenty znajdujące się w bazie SUG są posortowane według wersji systemów Windows lub aplikacji. Bazę można przeszukiwać filtrując informacje według produktów, których dotyczą, daty publikacji poprawek, identyfikatora CVE (Common Vulnerabilities and Exposures ID) lub numeru związanego z nimi dokumentu znajdującego się w bazie wiedzy KB (Knowledge Base).

Wprowadzając system Windows 10 w połowie 2015 roku Microsoft zmienił swoją dotychczasową politykę dotyczącą dostarczania aktualizacji. Są one wysyłane w formie skumulowanych pakietów, które są instalowane w całości i nie pozwalają na wydzielenie oraz ewentualną rezygnację z instalowania pojedynczych poprawek. W październiku 2017 roku taki sam mechanizm został zastosowany w wypadku starszych systemów Windows 7 i Windows 8.1. Vista została pominięta jako, że wsparcie dla tego systemu właśnie dobiega końca.

W efekcie biuletyny, opisujące niezależnie każdą pojedynczą aktualizację, stały się w dużym stopniu bezużyteczne dla administratorów systemów IT, bo nawet jeśli stwierdzą oni, że jakaś indywidualna poprawka może wywołać problem z prawidłowym działaniem wykorzystywanych w firmie aplikacji lub procesów, to i tak nie mogą jej zablokować, a jedynie nie dopuścić do instalacji kompletnego pakietu aktualizacyjnego. Oczywiście zawarte w biuletynach informacje w dalszym ciągu są potrzebne, niezależnie od tego w jaki sposób i w jakiej formie aktualizacje są dostarczane. I właśnie portal i baza danych SUG ma udostępniać takie informacje.