Link alla notizia: http://www.hwupgrade.it/news/sicurezza/4-vulnerabilita-critiche-per-microsoft-a-ottobre_26834.html

Rilasciato il pacchetto di aggiornamenti dei sistemi operativi Microsoft per il mese di Ottobre: 4 update critici, 6 importanti e 1 di livello moderato

Click sul link per visualizzare la notizia.

Ancora non mi spiego il perchè di rilasciare aggiornamenti critici solo con una cadenza mensile

Dovrebbe essere bisettimanale...quando ovviamente sono presenti degli aggiornamenti!

E' stata un scelta per ottimizzare il lavoro di testing e credo anche il carico sui server. Ci fu proprio un articolo su HWU che parlava della decisione di scadenzare gli aggiornamenti con timing mensile, mentre annuale per i SP.

In ogni caso aggiornato qualche minuto fa e tutto è andato liscio come sempre.

Beh, ci vuole un po' di tempo per raccogliere le informazioni sulle varie vulnerabilità, preparare gli aggiornamenti, preparare le localizzazioni nelle varie lingue, intanto organizzare i vari webcast a riguardo (nel sito TechNet gli aggiornamenti vengono presentati per bene), ecc., quindi ogni 14 giorni non sarebbe proprio possibile.
Considerate anche che durante il mese vengono sovente rilasciati aggiornamenti non di sicurezza, che richiedono comunque tempo per la preparazione.

Si ovviamente dietro c'è un lavoro enorme, nessuno lo mette in dubbio, ma non capisco ancora il perchè della periodicità. Se sviluppo una patch per una vulnerabilità critica ho tutto l'interesse nel rilasciarla appena è pronta e non alla successiva scadenza temporale, anche perché questo potrebbe farmi rilasciare una correzione immatura (per una scadenza a breve termine - è già successo) o troppo in ritardo rispetto ai relativi exploit. Tutto questo non sarebbe così grave se non parlassimo del sistema operativo più diffuso al mondo, credo.

Anche sulla cadenza degli aggiornamenti ci si attacca adesso per criticare Microsoft...ma basta!!!

il processo di pathing così come inteso dal workflow ITIL prevede dei test, delle analisi di impatto e dei tempi di deployment.
Quello che spesso si dimentica è che i prodotti MS sono più orientati verso il mondo enterprise e quindi è in quest'ottica che si devono leggere, ad esempio, i rilasci mensili delle patch. Resta comunque aperta la strada dei bollettini straordinari che vengono emessi in presenza di vulnerabilità davvero importanti.
un aggioranmento di sicurezza è difficile che dia problemi ad un client home, è invece molto più probabile che crei problemi ad applicazioni sviluppate internamente che spesso (troppo spesso) non seguono nessun tipo di best practice di programmazione.

Tanto tempo fa un certo antivirus di nome Kaspersky introdusse la distribuzione degli aggiornamenti a intervalli di 3 ore (per un totale di volte al giorno). Gli altri nel frattempo continuavano ad aggiornare l'antivirus ogni 48-72 ore. Per un certo periodo di tempo Kaspersky trovava il mondo e gli altri nisba. Poi tutti si sono adeguati a questa politica e le cose (vedi ultime comparative) sono cambiate. Certo non sono cambiate solo perche' si sono adeguati con gli aggiornamenti. Sarebbe ora che Microsoft imparasse dagli antivirus.

La periodicità è stata scelta per coordinare il lavoro di milioni di system admin sparsi per il mondo, quelli che usano Windows in aziende con molte macchine contemporaneamente.

La programmazione anticipata di un'unica mattinata mensile dedicata agli update impedisce di bloccare "a casaccio" la produttività di interi reparti per più volte consecutive.

Tutto qui.

Tanto tempo fa un certo antivirus di nome Kaspersky introdusse la distribuzione degli aggiornamenti a intervalli di 3 ore (per un totale di volte al giorno). Gli altri nel frattempo continuavano ad aggiornare l'antivirus ogni 48-72 ore. Per un certo periodo di tempo Kaspersky trovava il mondo e gli altri nisba. Poi tutti si sono adeguati a questa politica e le cose (vedi ultime comparative) sono cambiate. Certo non sono cambiate solo perche' si sono adeguati con gli aggiornamenti. Sarebbe ora che Microsoft imparasse dagli antivirus.

non credi che l'aggiornamento delle basi di definizione di un av sia un processo leggermente meno critico di aggiornare un sistema operativo?

Dovrebbe essere bisettimanale...quando ovviamente sono presenti degli aggiornamenti!
leggi l'entita' delle vulnerabilita'..sono tutte private con M$ e non conosciute tecnicamente per esser sfruttate ovviamente fino al rilascio dei fix dove con reverse engineering si risale e scopre il codice per sfruttarle ..quindi aggiornate sempre subito con Win Update quando escono le patch se avete disabilitato il servizio ..poi usate un router ADSL e Firefox o Opera aggiornati per stare in Interent ...

Apple i fix alle innumerevoli vulnerabilita' del sistema solo per far un esempio li esegue ogni 2 mesi

non credi che l'aggiornamento delle basi di definizione di un av sia un processo leggermente meno critico di aggiornare un sistema operativo?

sono d'accordo

ma nel recente passato ci sono stati 2 esempi (leggi Sasser e Blaster)
in cui la diffusione delle patches Microsoft è stata più importante di un aggiornamento delle firme virali di un antivirus :)

theJanitor

e tu non credi che Microsoft sia un tantino piu' grandina di Kaspersky ?

theJanitor

e tu non credi che Microsoft sia un tantino piu' grandina di Kaspersky ?

Mi sa che non hai ben chiara la differenza tra quel tipo di aggiornamenti e la correzione di bug di un SO.

Microsoft non produce solo Win, tra l'altro i team sono composti da 3-8 persone ciascuno, che tra l'altro stanno lavorando anche ad altri progetti (e tra le altre cose cmq MS ha in piedi il supporto per molti altri prodotti, tra cui lo stesso XP, i prodotti Server, e così via).

E' ovvio che un antivirus basato su definizioni deve essere sempre aggiornato per via della proliferazione di nuovi virus ogni giorno, un bug del sistema operativo può anche risultare non sfruttabile nell'immediato.

Tra le altre cose le definizioni sono comuni a tutti i prodotti di Kaspersky, cosa non necessariamente vera nel codice dei vari Windows.

Senza contare che inevitabilmente ad ogni modifica del codice possono essere introdotti altri bug, quindi ben venga il testing aggiuntivo.

Nell'occasione di Sasser la patch era disponibile 2 settimane prima dell'attacco ;)

Cmq su Vista gli aggiornamenti sono segnati come Important e non Critical. Rilasciare aggiornamenti ogni giorno su più di 11 milioni di righe di codice (non so Vista quante ne ha, ma Windows 95 aveva quella quantità, fai una proporzione) significherebbe uno sforzo disumano.

se Microsoft si mettesse a rilasciare gli aggiornamenti a casaccio nelle aziende i responsabili diventerebbero pazzi ad aggiornare migliaia di pc ogni 2-3 giorni e bloccherebbero il lavoro; è proprio una questione di sincronizzazione aziendale per cui non criticate per favore.