Adiamento de pacote de segurança da Microsoft pode trazer riscos

PC World / EUA
16 de fevereiro de 2017 - 17h33
Especialista contesta decisão da empresa de Redmond de adiar em um mês a liberação da Patch Tuesday de fevereiro após problema de última hora.

A Microsoft decidiu juntar os seus patches de segurança de fevereiro com aqueles programados para março, uma iniciativa da qual alguns especialistas em segurança discordam.

“Fiquei surpreso em saber que a Microsoft quer adiar em um mês”, afirmou o diretor de pesquisas da empresa de inteligência em vulnerabilidades Risk Based Security, Carsten Eiram. “Mesmo sem saber de todos os detalhes, acho muito difícil justificar uma decisão desse tipo. Eles têm consciência das vulnerabilidades dos seus produtos e desenvolveram soluções; elas devem ser sempre disponibilizadas aos usuários o mais rápido possível.”

A empresa de Redmond pegou todos de surpresa nesta terça-feira, 14/2, ao anunciar que os seus patches mensais precisavam ser adiados por conta de “um problema de última hora” poderia impactar os usuários. A empresa não especificou inicialmente por quanto tempo os patches seriam adiados, o que provavelmente atrapalhou os planos de uso dos patches de alguns administradores de sistemas.

As companhias precisam saber com antecedência quando grandes fabricantes vão liberar seus patches para que possam planejar cuidadosamente como irão testar e adotar os updates nos milhares de servidores e estações de trabalho das suas redes.

É por isso que muitas empresas de software possuem cronogramas regulares de patches. Para a Microsoft, Adobe, SAP e algumas outras, o lançamento de patches acontece na segunda terça-feira de cada mês, um dia que ficou conhecido no mercado como Patch Tuesday ou Update Tuesday.

Na quarta-feira, 15/2, a Microsoft atualizou o seu anúncio original para especificar que os patches de fevereiro foram adiados em um mês e serão liberados em 14 de março, perto da próxima Patch Tuesday.

Eiram pensa que, a partir de uma perspectiva de segurança, adiar todos os patches por um mês inteiro não será um favor para os usuários da Microsoft.

“Na minha visão, algumas das únicas razões que podem justificar adiar uma correção é se a empresa descobriu de última hora que a correção pode causar sérios problemas, não resolver o problema corretamente ou algo parecido”, afirmou. “Em um caso desse tipo, as outras correções ainda deveriam ser liberadas. Se há um problema com o novo sistema de publicação da Microsoft, eles deviam ter usado o método antigo para enviar os boletins e patches de fevereiro, caso fosse uma opção.”