Patch-Day: Exploitability Index für Microsoft ein Erfolg

Windows Microsoft gibt seit neuestem anlässlich der Veröffentlichung neuer Updates am allmonatlichen Patch-Day auch immer eine Prognose darüber ab, wie groß die Wahrscheinlichkeit einer Ausnutzung der zu schließenden Lücken ist. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
ich finde den patch-day unlogisch... warum kann ms nicht die patches veröffentlichen, wenn sie fertig sind?... das zwingt doch keinen admin dazu, die updates nicht wie gehabt am anfang eines monats auf einmal in "sein" netzwerk zu integrieren...
 
@klein-m: fürs automatische update? dann wissen alle admins, am ... ist der server kurz down, dann sind neue updates drauf...
 
@namronia: durch die verteilung der updates über den monat, wird ja die wahrscheinlichkeit der überlastung ja gesenkt... also verstehe ich dein argument nicht...
 
Microsofts Begründung liegt darin, dass Admins einen fixen Tag haben sollen, den sie für das Prüfen und Einspielen der Patches verwenden können.
Ein neues Sicherheits-Update bringt jeden Admin sofort unter Zugzwang, denn er wäre ja unverantworklich, würde er drei Wochen mit einem Sicherheits-Update warten.
Das jedenfalls ist die Argumentation von Microsoft, ich (selber Admin) bin da ganz dankbar für, denn die Verwaltung eines WSUS (Firmeneigener Windows Update Server von dem die Clients die Updates beziehen) ist auch 1x im Monat schon nervig genug für mich.
 
@.Omega.: Und Du spielst Updates immer gleich ein??? Wie groß ist denn Dein zu verwaltendes Netz? Also ich spiele Updates niemals sofort ein, schon oft genug kam ein Patch für den Patch... Da muss man schon aufpassen, hab da einfach schon zu viel erlebt...
 
@.Omega.: also beu uns in der schule (grob geschätzt 1000 pcs (standpcs und notebooks)) gibt es alle 2 wochen bis 1 monat updates
 
@.Omega.: ob ein admin nun so wartet oder so wartet, ist doch dann voll banane... warten tut er in jedem fall... also ist die argumentation doch vollkommener müll...
 
@klein-m: Nein ist es nicht! Als Admin soll man ein Update auf einem "Testsystem" testen und auf Firmenkompatibilität prüfen. Wenn jetzt über den Monat zig Updates kommen, muss man jedes Update einzeln testen. So, kann man gleich alle Updates auf einmal testen und erst wenn es Probleme (auf dem Testsystem) gibt eine nähere Analyse durchführen. Das spart enorm Zeit. Jeder der mit WSUS arbeitet kennt das!
 
@DarkKnight80: ich habe doch extra geschriebn, dass bei dem umstand, wenn jedes update dann kommt, wenn es fertig ist, kein admin dazu gezwungen ist, es sofort zu installieren... er kann es doch wie gehabt einmal im monat machen...
 
@klein-m: Weil die Lücken erst dann wirklich gefährlich werden, wenn sie veröffentlicht werden. In dem Moment, wo die Malware- Programmierer den MS- Patch kennen, werden sie beginnen, die Lücke auszunutzen. Ein Admin muß kritische Lücken nach Bekanntwerden zeitnah patchen.
 
immerhin spielt microsoft ihre lücken nicht runter, aber um gotteswillen, was soll daran ein erfolg sein wenn man solche genialen prognosen von sich gibt.
 
Wenn ich in 20 Fällen blind Ja oder Nein antworte sollte ich rein statistisch auf ca. 10 richtige kommen. Bei 12 oder 13 von 20 würde ich mich freuen, aber bei 8?Wir sollten zusammenschmeißen und denen ein paar Würfel schenken. Grade = Ja, Ungrade = Nein. Schon wären ihre Prognosen um ca. 20% genauer :D
 
@freach: Genial. :D Du hast vollkommen Recht. Wobei ich es aber dennoch begrüße, dass MS sowas macht.
 
@freach: Hehe, danke freach, ich habe gelacht. Ein sehr, sehr schöner Kommentar ist das! Natürlich ist 20 kein Universum für eine statistische Methode, das macht es aber noch schöner da selbst das ungeeignete Instrument ein besseres Ergebnis geliefert hat - du hast so sehr schön eine totale Nullnummer an Plausibilität der Interpretation der Zahlen als Erfolg gezeigt. Ein Plus von mir für dich!
 
@freach: nur "ja" oder nur "nein" macht den index aber unsinnig...
 
@klein-m: dann fügen wir halt noch vllt. hinzu :)
 
@Strudel: ich meinte entweder alle mit "ja" oder alle mit "nein"... wenn du blind wählst, liegt die wahrscheinlichkeit, dass du richtig gewählt hast zwischen 0 und 100%... wahrscheinlichkeitsrechnung ist zu komliziert...
 
@klein-m: ah okay.ach, wahrscheinlichkeitsrechnung ist gar nichts so kompliziert finde ich.aber dafür gibts andere rechenarten (mit fällt grad kein besseres wort ein) die ich kompliziert finde^^
 
[...]prognostiziert, dass es in neun Fällen ... letztlich waren es aber nur vier.[...], [...]Für vier weitere Schwachstellen hatte ... vorhergesagt, ... was bisher auch zutrifft.[...]
Macht also 13:8, Aussagen:EingetroffeneAussagen.
[...]Die Prognosen waren also nur in 8 von 20 Fällen korrekt.[...]
Und wo kommen plötzlich die anderen 7 Aussagen her? Auf die wurde im Text garnicht eingegangen! Was wurde denn bei den 7 restlichen Schwachstellen vorausgesagt?
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen