A Microsoft aposentou nesta semana os boletins de segurança que por décadas descreveram os conjuntos de vulnerabilidades e seus patches para os usuários – especialmente administradores responsáveis por operações de empresas de TI.

Um especialista em segurança relatou a mudança para a sua equipe. “Estava tentando reaprender a andar, correr e andar de bicicleta, tudo ao mesmo tempo”, afirmou o gerente de produtos da Ivanti, Chris Goettl.

A mudança para uma Patch Tuesday sem boletins acontece após a Microsoft falar por meses sobre acabar com eles.

A Microsoft anunciou o fim dos boletins em novembro, dizendo então que os últimos seriam publicados juntamente com a Patch Tuesday de janeiro, e que o novo processo iria estrear em 14 de fevereiro. Uma base de dados com documentos de suporte iria substituir os boletins. Acessado por meio do portal Security Updates Guide, o conteúdo da base de dados pode ser separado e filtrado pelo software afetado, data de lançamento do patch, seu identificador CVE, e a etiqueta numérica do documento de suporte KB (base de conhecimento).

Os precursores do SUG eram os boletins baseados na web que fazem parte das políticas de revelação de patches da Microsoft desde pelo menos 1998. A Microsoft fez um trabalho tão bom enviando esses boletins que eles considerados o modelo desejado e de comparação para todas as empresas de software.

Em fevereiro, a Microsoft cancelou a Patch Tuesday apenas horas antes das atualizações de segurança chegarem aos usuários. A Microsoft também manteve os boletins no mês seguinte, dizendo que queria dar aos usuários mais tempo para eles se prepararem para a mudança para o SUG.

Por fim, quando liberou o seu pacote de atualizações para Windows, Internet Explorer, Office e outros produtos, a Microsoft deixou de fora os boletins de sempre.

Goettl não ficou muito impressionado com o substituto SUG. “Neste mês a Microsoft solucionou um total de 46 vulnerabilidades. Demorei cerca de 4 horas para fazer a pesquisa (no SUG) que normalmente faria com os boletins. Com os boletins eu conseguia fazer o triplo de pesquisas na metade do tempo”, afirmou.

O especialista culpa a Microsoft pelo tempo extra que os administradores de TI e segurança vão gastar para navegar pelas informações. Como a fundação da base de dados eram CVEs – os identificadores para cada vulnerabilidade discreta – ele precisou abrir as contagens das páginas no navegador para revelar as informações sobre as falhas do Windows 10 que a Microsoft tinha corrigido.

“Você costumava ir até a página de boletins, digamos, para o Windows 10, e lá estavam as vulnerabilidades corrigidas e as páginas KB relacionadas, tudo em um só lugar. Mas neste mês, como havia 26 vulnerabilidades corrigidas no update cumulativo do Windows 10, precisei abrir 26 páginas web. Precisei abrir cada uma das páginas CVE. Então isso foi um pouco decepcionante.”