Patchen is als tandenpoetsen: het is goed, het moet, en met regelmaat. In tegenstelling tot poetsen kan patchen ook nieuwe problemen brengen. Testen is het devies. Door beheerders en door patchmakers.
Microsoft heeft in augustus nieuwe onderbouwing geleverd voor de noodzaak van patch-testing. De softwaregigant bracht in deze maand een viertal patches voor Windows uiten trok die vervolgens prompt weer in. Het gaat om een security-patch (KB2982791) en drie functionele updates (KB2970228, KB2975719 en KB2975331). Eerstgenoemde Windows-patch is in in allerijl ingetrokken nadat er meldingen opdoken van harde systeemcrashes met Blue Screens of Death (BSOD’s). Daarbij zijn Windows-systemen zelfs geheel onklaar geraakt.
Alle Windows-versies geraakt
De bewuste beveiligingsupdate fixt drie kwetsbaarheden in de kernel-mode drivers van het besturingssysteem. Microsoft vermeldt dit in het bijbehorende security-bulletin (MS14-045). De kwetsbaarheden raken de huidige ondersteunde Windows-versies: van Vista en Server 2003 tot Windows 8.1 en Server 2012 R2. Dit omvat ook de diverse varianten van die besturingssystemen voor 32-bit en x64-processors, voor 64-bit Itanium-serverchips, en voor ARM-processors (Windows RT).
Een kwaadwillende kan zich via deze kwetsbaarheden hogere rechten toeëigenen op een computersysteem. De security-update hiervoor krijgt van Microsoft dan ook het stempel ‘Belangrijk’. De categorie ‘Kritiek’ is niet aan de orde omdat er verzachtende omstandigheden zijn. Zo moet een aanvaller wel valide inloggegevens voor het kwetsbare systeem hebben en bovendien daar lokaal mee inloggen. Misbruik is niet mogelijk op afstand, dus via een netwerk zoals het internet.
Over regen en de drup
Het te dichten kwaad is dus niet gering, maar ook niet heel groot. Het onbedoelde neveneffect van deze patch vormt echter wel een flink gevaar. De foute patch kan zorgen voor computercrashes met BSOD’s en zelfs uitgeschakelde systemen. Dat zijn risico’s die bedrijven en beheerders willen vermijden. Uiteindelijk is de na drie dagen weer ingetrokken patch later in augustus toch nog in een goede vorm uitgebracht.
Het lijkt erop dat deze patch niet goed is getest voordat hij is uitgebracht. Microsoft slaat hiermee niet voor het eerst de plank mis. De Windows-maker heeft wel vaker patches uitgebracht die meer kwaad dan goed hebben deden. Een jaar geleden was de veelgebruikte en onmisbare mail- en agendasoftware Exchange de klos. Een brakke security-fix veroorzaakte toen corruptie in de Content Index van de mailboxen op die server. In het recente geval was alleen de allernieuwste versie van Exchange geraakt.
Brede impact
De impact van foute patches is niet altijd zo beperkt. Kort voor de Exchange-uitglijder heeft Microsoft drie brakke patches en vlak daarna een vierde moeten terugtrekken. Dit viertal was van toepassing op een hele verzameling aan Microsoft-producten: van het .Net Framework en Silverlight tot Windows XP, 7 en 8. Ironisch genoeg gaven de vier foute patches juist problemen in combinatie met andere Microsoft-producten. Die liepen uiteen van Microsoft CRM 2011, via Microsoft Configuration Manager 2012 en 2007, tot de SQL Server 2012-database.
Testen is dus nodig, broodnodig. Dat geldt niet alleen voor beheerders van it-omgevingen met maatwerk, zelfontwikkelde oplossingen of exotische configuraties. De noodzaak van testen geldt ook voor standaardopstellingen met software van vertrouwde, grote it-leveranciers. Microsoft is namelijk niet de enige die met patches problemen kan wegnemen maar ook onbedoeld kan bezorgen.
