TigerTeam - suomalainen tietoturvablogi

Normaalitilanteessa ylläpitäjät ja tietoturvahenkilöstö sekä käyttäjät voivat tutustua uudessa ohjelmistoversiossa korjattuihin haavoittuvuuksiin tai tietoturvaparannuksiin. Aina ei näin kuitenkaan tapahdu.

Hiljainen päivitys on ohjelmistoon julkaistu tietoturvapäivitys, jossa korjattuja haavoittuvuuksia ei ole julkisesti dokumentoitu eikä yksilöity.

Päivitystä ei siis edes kutsuta tietoturvapäivitykseksi, mikäli samalla kertaa ei ole korjattu muita haavoittuvuuksia, jotka yksilöidään tietoturvatiedotteessa (advisory).

Mikäli ilmoittamatta jäävä korjattu haavoittuvuus on ainut tietoturvapäivitys, mutta valmistaja nimeää päivityksen esimerkiksi ylläpito- tai vakauspäivitykseksi saattavat ohjelmiston ylläpidosta vastaavat organisaatioissa jättää päivityksen väliin. On helppoa olla kiirehtimättä päivityksen jakelussa, ellei sen tietoturvaluonnetta ole tiedossa.

Hiljaisia päivityksiä (englanniksi silent patch) harrastavat niin isot kuin pienetkin ohjelmistovalmistajat. Viime päivinä aiheesta on puhuttu Adoben julkaistua Flashia koskevan säännöllisen tietoturvapäivityksen. Microsoftin on kerrottu toimineen viime vuonna MS10-024- ja MS10-028-päivityksien kohdalla myös “hiljaisesti”.

Adoben tapauksessa Googlen Tavis Ormando väittää Adoben jättäneen yksilöimättä nelisensataa tietoturvaparannusta, jotka ovat tulleet ilmi Flashiin kohdistuneessa auditoinnissa Chrome-selaimeen integroimiseen liittyen. Ormando perää tapauksille CVE-tunnuksia ja haavoittuvuuksien löytäjän nimeä esile.

Aikaisempia tietoturvatermejä koskevia kirjoituksia voi lukea avainsanalla tietoturvatermit.