Damaschkes Daily abonnieren (RSS 2.0)
Das dreckige Dutzend: Heute ist Patch Day
Keine einigermaßen komplexe Software ist je vollständig fehlerfrei. Daher haben alle Softwarefirmen verschiedene Update-Verfahren entwickelt. Das Standard-Verfahren geht so.
Ein Programm nimmt in regelmäßigen Abständen Kontakt zum Server des Anbieters auf und sucht nach neuen Versionen, Updates oder Patches. Wird es dabei fündig, lädt es die entsprechenden Daten herunter, installiert sie und startet neu (natürlich nicht, ohne den Anwender darüber zu informieren und ihm Gelegenheit zu geben, den gesamten Vorgang auf einen späteren Zeitpunkt zu verschieben oder ganz abzubrechen). Wählt man einen entsprechend kurzen Prüfintervall (etwa “täglich” oder “bei jedem Programmstart”), kann man ziemlich sicher sein, immer mit der aktuellen Version eines Programms zu arbeiten.
Wie gesagt, das ist das Standard-Verfahren, das die meisten Software-Firmen benutzen. Aber nicht alle: Microsoft hat im Oktober 2003 erstmals einen anderen Weg eingeschlagen und mit dem “Patch Day” einen festen, monatlichen Update-Termin eingeführt. An jedem zweiten Dienstag eines Monats stellt Microsoft eine Reihe von Sicherheitsupdates bereit, die Windows und Office in der Standardkonfiguration automatisch herunterlädt und nach Rückfrage beim Anwender installiert.
Das klingt auf Anhieb ein wenig seltsam, kann es so doch passieren, dass eine Sicherheitslücke bis zu vier Wochen lang zwar bekannt, aber nicht geschlossen wird. Kritik an diesem “Patch-Day-Verfahren” hat es daher oft genug gegeben. Allerdings darf man dabei die Größenordnung nicht aus den Augen verlieren, in denen Microsoft Patches verteilt. Für private Anwender kann es zwar noch egal sein, wann ein Update erscheint und seinen Rechner eventuell für ein paar Minute aus dem Verkehr zieht, für einen Admin im Unternehmen jedoch nicht. Hier könnte sich das nicht planbare Standard-Verfahren vom “Update dann, wenn es fertig ist” zum administrativen Albtraum entwickeln. Mit dem festen Termin “zweiter Dienstag im Monat” können die Admins Wartungsarbeiten an den Unternehmens-Computer dagegen planen und ausführen.
Einer der Kritikpunkte zielt auf die psychologische Wirkung des Patch Days ab. Da Microsoft an diesem Tag meist mehrere Patches zu einem bündelt, werde die tatsächliche Anzahl und Häufigkeit notwendiger Sicherheitspatches verschleiert und den Anwendern vorgegaukelt, Windows und Office seien sicherer, als sie es tatsächlich sind. So hat Microsoft für den heutigen Patch Day gleich ein rundes Dutzend (!) Security Bulletins veröffentlicht. In diesen Bulletins werden die Programme und Probleme benannt, die mit dem kommenden Patches behoben werden, allerdings ohne konkrete Details zu nennen, schließlich dienen die Bulletins den Informationen des Anwenders und sollen keine Bastelanleitung für Hacker sein.
Die Zahl der Bulletins erlaubt übrigens keine Schlüsse auf die Zahl der tatsächlich behobenen Fehler. Es kann sich um ein Dutzend Sicherheitslücken handeln, aber auch um deutlich mehr.
Die Einschätzung und Beurteilung des Patch-Day-Verfahrens ändert natürlich überhaupt nichts daran, dass die Installation der an diesem Tag veröffentlichen Softwareflicken zu den Pflichtaktionen eines jeden Windows-Anwenders gehört.
Dieses Mal stuft Microsoft gleich sieben der bekannt gewordenen Lücken als “kritisch” ein, also als Sicherheitslücken, von denen ernsthafte Gefahren ausgehen. Über solche Lücken ist typischerweise ein Einbruch ins System möglich, das Update stopft diesen Einfallsweg und sollte daher schon im eigenen Interesse installiert werden.
Wenn Sie jetzt allerdings darauf lauern, dass Windows ein Update lädt, dann vergessen Sie die Zeitverschiebung zwischen Europa und den USA nicht – hierzulande ist der Patch-Day-Dienstag in aller Regel erst am Mittwoch.