Microsoft voorziet maandelijkse security-only update van ‘spionagepatch’

Microsofts security-only update package voor Windows 7 bevat deze maand ook telemetriebestanden die voor de nodige argwaan zorgen. De componenten kunnen worden gebruikt voor het uitvoeren van geforceerde updates maar ook voor het bespioneren van individuele pc’s.

De update genaamd (KB4507456) is onderdeel van de normale afleveringcyclus van Patch Tuesday. Deze is doorgaans enkel bedoeld voor beveiligingsupdates. Alleen deze maand is de update gebundeld met een Compatibility Appraiser (KB2952664). De patch is oorspronkelijk ontworpen om problemen te identificeren die voorkomen dat een Windows 7-pc wordt geüpdatet naar Windows 10, aldus ZDNet.

Telemetrie

Het woord ‘telemetrie’ verschijnt in minstens één van de bestanden. Sommige Windows Update-sceptici zien deze vermelding als een korte stap van schijnbaar onschadelijke gegevensverzameling naar regelrechte spyware. Zo merkte een van de sceptici, Woody Leonhard, op dat Microsoft “heimelijk telemetrie-functionaliteit lijkt toe te voegen aan de nieuwste update”. 

De argwaan komt ook voort uit het feit dat de softwarereus zonder waarschuwing van zijn eigen regels afwijkt. Regels waarin security-only updates ook echt alleen beveiligingsupdates zouden mogen bevatten, geen kwaliteitsfixes of diagnostische hulpprogramma’s. Microsoft verdeelde eerder zijn maandelijkse updatepakketten voor Windows 7 en Windows 8.1 in twee verschillende aanbiedingen. Zo kwamen er maandelijkse updates en fixes en voor diegenen die alleen essentiële patches willen, werden  security-only updates in het leven geroepen.

‘Microsoft zwijgt’

Het helpt ook niet dat Microsoft tot nu toe zwijgt over de reden waarom ‘Compatibility Appraiser’ en de geplande taken (telemetrie) aan update KB4507456 zijn toegevoegd. Al zouden de extra bestanden ook opgenomen kunnen zijn vanwege een niet-gespecificeerd beveiligingsprobleem. Zou zou bijvoorbeeld een deel van het onderdeel Appraiser op Windows 7 SP1 een eigen beveiligingsprobleem kunnen hebben. De vreemde eend in de bijt, update KB2952664, zou in deze dus wel degelijk thuishoren in de security-only update package.

Bovendien is het ook mogelijk dat Microsoft, met de naderende einddatum van 14 januari 2020 voor support van Windows 7, de Compatibility Appraiser-tool verplicht maakt. Iets dat dus een upgrade naar Windows 10 eenvoudiger zou moeten maken.