Microsoft enfrenta fuertes críticas por su decisión de hacer una notificación previa de los próximos parches disponibles sólo para suscriptores de pago.
El Servicio de Notificación Avanzada (ANS) anteriormente comunicaba sobre los próximos parches de software disponibles al público en general, pero a partir de ahora la información se limitará a los clientes "premier" y algunos otros socios selectos.
Chris Betz, director senior del Centro de Respuesta de Seguridad de Microsoft, explicó en un blog que Microsoft estaba restringiendo la distribución de la pre-alerta de parches con la intención de reducir el "desorden". Betz argumentó que el aviso de seguridad ya no eran de mucha utilidad para la mayoría de sus clientes.
Estamos realizando cambios en la forma en que distribuimos ANS a los clientes. En el futuro, vamos a proporcionar información ANS directamente a los clientes Premier y organizaciones actuales que participan en nuestros programas de seguridad, y ya no facilitar esta información ampliamente a través de una entrada en el blog y página web.
ANS siempre ha sido optimizado para las grandes organizaciones. Sin embargo, la retroalimentación del cliente indica que muchos de nuestros clientes grandes ya no usan ANS de la misma manera que lo hicieron en el pasado debido a metodologías de prueba y despliegue optimizados. Mientras que algunos clientes siguen confiando en ANS, la gran mayoría espera los martes de actualización o tomar ninguna acción, lo que permite actualizaciones que se producen de forma automática.
Hoy, más y más clientes están tratando de reducir el desorden y obtener información de seguridad a la medida de sus organizaciones. En lugar de utilizar ANS para ayudar a los despliegues de actualización de seguridad, los clientes están recurriendo cada vez más a las herramientas de administración de actualizaciones y actualización de seguridad de Microsoft, como Windows Server Update Service para ayudar a organizar y priorizar la implementación. Los clientes también se están moviendo a los sistemas basados en la nube, que proporcionan una continua actualización.
Jon Rudolph, ingeniero principal de software de Core Security, sostuvo que en lugar de "simplemente cortar el desorden", Microsoft está "ocultando su boleta de calificaciones de seguridad del público en general".
"Las vulnerabilidades nos enseñan algo todos los meses sobre el software, seguridad, hipótesis erróneas, y la calidad del producto, y (indirectamente) amenazas, si actualmente utilizamos ese producto o no", dijo Rudolph. "Al parecer, la lista todavía está disponible por un precio, y alentando a los usuarios hacia los nuevos boletines, Microsoft quita a los usuarios algo de control en esta transición."
Para Ross Barrett, director senior de ingeniería de seguridad en Rapid7, y los desarrolladores de la herramienta de pruebas de penetración Metasploit, esto aún más crítico.
"Esto es un asalto a la TI y los equipos de seguridad en todas partes", comentó Barrett. "Hacer este cambio sin previo aviso es simplemente inconsciente del impacto que esto tendrá en el mundo real. Microsoft, básicamente da un mensaje de 'sólo confía ciegamente ' que vamos a arreglar todo para usted. Honestamente, es impactante".
En ausencia de una pre-alerta publicada, no sabemos qué parches o cuántos van a aparecer en el primer martes de parches del 2015, el cual debe llegar el 13 de enero. Exista o no habrá un parche para solucionar una vulnerabilidad de escalada de privilegios local en Windows 8.1 descubierto por Google y publicado a finales de diciembre es un punto clave de interés para la próxima semana,
Fuente: TR
