A Patch Tuesday vagy Update Tuesday[1] (magyarul kb. frissítő kedd, hibajavító kedd vagy Patch Kedd) minden hónap második keddje (általában magyar idő szerint kedd este, 17:00 UTC), amikor a Microsoft megjelenteti az új biztonsági frissítéseket.[2]

A Microsoft a Windows 98-cal kezdve vezette be a „Windows Update” rendszert, amivel az időközönként megjelenő patcheket lehetett letölteni a Windowshoz és annak komponenseihez. A Microsoft Update megjelenésével már lehetővé vált más Microsoft-termékek, köztük az Office, a Visual Studio, az SQL Server, a Windows Defender frissítéseinek vizsgálata és letöltése.

A Microsoftnak egy időben szokása volt, hogy az év páratlan hónapjaiban kevesebb, a páros hónapokban több frissítést jelentet meg.[3][4][5]

Néha két frissítőkedd közé beiktatnak egy rendkívüli frissítőkeddet, 14 nappal a szokásos esemény után. Vannak olyan termékek, aminek a frissítései naponta érkeznek (a Windows Defender és a Microsoft Security Essentials definíciófrissítései) vagy a szokásostól teljesen eltérő időpontokban.

A 2015-ös Microsoft Ignite konferencián bejelentették, hogy változni fog a biztonsági és egyéb javítások terjesztésének menete: az otthoni PC-kre, tabletekre, telefonokra 24 órában, a hét minden napján érkeznek az új frissítések; a nagyvállalati Windows 10-ek továbbra is havi frissítési ciklusban maradnak majd, amit Windows Update for Business néven terveznek újra.[6]

A Microsoft megközelítése

szerkesztés

A javítások telepítésének költségei

szerkesztés

A Windows Update-rendszernek két problémája volt, melyek a felhasználók táborának két ellentétes pólusát érintették. Az első az volt, hogy a kevésbé hozzáértő felhasználók nem ismerték a Windows Update-et, és ezért nem futtatták azt. A Microsoft megoldása erre az „Automatikus frissítések” (Automatic Update) bevezetése volt, ami a felhasználót értesítette az ő rendszerét érintő új javítások megjelenéséről.

A második probléma nagyvállalati szinten jelentkezett. Ezeknél a cégeknél, ahol több száz vagy több ezer Windowst használnak, egyre nehezebb volt meggyőződni arról, hogy a vállalat minden gépe naprakész a frissítésekkel. A problémát súlyosbította, hogy egyszer-egyszer a javítócsomagok megváltoztatták a szoftver megszokott működését, és el kellett őket távolítani.

A patchek telepítése költségeinek csökkentése céljából a Microsoft 2003 októberében bevezette a Patch Tuesday fogalmát.[7] Ennek lényege az, hogy a biztonsági javításokat egy hónapon keresztül hagyják gyűlni, majd abban az időpontban „szabadítják rá” a rendszerekre, amikor erre a rendszergazdák számítanak. Ezt az időpontot úgy választották meg, hogy ne legyen túl közel a hét elejéhez, de a hétvégétől kellően távol legyen, hogy a patchekkel kapcsolatos problémákat még a hétvége előtt meg lehessen oldani. Maga a „Patch Tuesday” név használata csak 2004 harmadik negyedévétől terjedt el. Egyes iparági elemzők a rákövetkező napot „Exploit Wednesday”-nek, vagy akár a támadás napjának/Day Zero-nak nevezik, amikor a hackerek támadást indíthatnak az újonnan bejelentett sérülékenységek kihasználására.

Vállalati környezetben a javításokat gyakran nem gépenként töltik le a Microsoft oldaláról, hanem közbeiktatnak valamilyen szerveroldali megoldást a javítások engedélyezésére, elosztására. Ilyen az ingyenes Windows Server Update Services (WSUS), vagy a nagyobb tudású System Center Configuration Manager (korábban SMS vagy Systems Management Server).

Hatása az internetre

szerkesztés

A Patch Tuesday biztonsági következményei

szerkesztés

A legnyilvánvalóbb biztonsági következmény, hogy olyan biztonsági problémák megoldására, amikre már kidolgozták a javítást, akár egy hónapot is várni kell. Ez a megoldás megfelelő lehet, ha a sebezhetőség nem ismert széles körben, vagy kevés ügyfelet érint, de nem mindig ez a helyzet.

A múltban előfordult néhányszor, hogy a sebezhetőségről kitudódtak az információk a szokásos keddi javítás megérkezése előtt, vagy akár a sebezhetőséget kiaknázó malware-ek is megjelentek. Ilyenkor a Microsoft néha soron kívül (out-of-band) is kibocsát javításokat.

Exploit Wednesday

szerkesztés

Sok esetben a patch megjelenését követően nagyon hamar megjelennek az adott sebezhetőséget kihasználó, rosszindulatú programok. A patch analizálásával ugyanis a férgek írói könnyebben rájöhetnek, hogy lehet kiaknázni az adott sebezhetőséget,[8] a még patcheletlen számítógépeken. Innen jön az „Exploit Wednesday” elnevezés.[9]

A rosszindulatú kódok írói arra is rájöttek, hogy ha éppen a hónap második keddjén kezdik terjeszteni az új, foltozatlan sebezhetőséget kiaknázó malware-t,[10] a lehető legtöbb idejük marad a terjedésre, mielőtt a Microsoft következő frissítési ciklusában kijavítanák a hibát.

A Windows XP esete

szerkesztés

A Microsoft figyelmezteti a felhasználókat, hogy 2014. április 8. után, ahogy a Windows XP támogatási időszaka lejár, a Windows XP-t futtató rendszerek örökre védtelenek lesznek a nulladik napi támadásokkal szemben, hiszen az újabb Windowsokhoz készített javítások visszafejtésével a férgek írói a Windows XP-n működő, támadó kódot írhatnak, és ezek a biztonsági rések sohasem kerülnek majd befoltozásra.[11][12][13]

Egyéb következmények

szerkesztés

A Microsoft letöltési szerverei nem tartják tiszteletben a TCP lassú kezdés torlódásvédelmi stratégiáit.[14] Ennek következményeként az internetet jelentősen lelassíthatják a frissítéseket éppen letöltő számítógépek; ez különösen ott érzékelhető, ahol egyetlen, korlátozott sávszélességű kapcsolaton sok windowsos számítógép frissíti magát, például kisvállalkozásoknál. A frissítés sávszélességigénye csökkenthető, ha a vállalat számítógépeit menedzselt módon, például a Windows Server Update Services segítségével frissítik.

A Patch Tuesday-t követően számítógépek milliói indulnak újra viszonylag rövid idő alatt. Ez megnöveli az internet szervereire nehezedő terhelést, ahogy a különböző kliensszoftverek ki- és újra bejelentkeznek.

2007 augusztusában például a Skype két napig nem működött a Patch Tuesday-t követően; a Skype szerint ezt a szervereik egy korábban nem ismert szoftverhibája okozta, amit az abnormálisan sok újrainduló gép hozott napvilágra.[15]

Kapcsolódó események

szerkesztés

App Tuesday

szerkesztés

A Google 2010 júniusától a Microsoft frissítőkeddjét rendszeresen meglovagolva, minden hónap második keddjén a havi rendszeres tevékenységgel járó frissítések helyett saját webalkalmazásait, a Google Apps Marketplace-et ajánlja.[16]

Az Adobe cég 2012 novemberétől összehangolja frissítési ciklusát a Microsofttal, azzal összefüggésben, hogy a Windows 8-cal debütált Internet Explorer 10-be beleintegrálták a Adobe Flash plugint.[17]

Fordítás

szerkesztés
  • Ez a szócikk részben vagy egészben a Patch Tuesday című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.
  1. August updates for Windows 8.1 and Windows Server 2012 R2. Windows Experience Blog. (Hozzáférés: 2015. november 25.)
  2. Security updates. Microsoft, 2007. október 9. (Hozzáférés: 2007. november 2.)
  3. ComputerWorld: Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week. [2014. április 20-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. július 9.)
  4. ItProPortal: Microsoft Ready To Patch 34 Security Vulnerabilities
  5. TechWorld: Microsoft to patch critical Windows Server vulnerability. [2011. június 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. július 9.)
  6. The Register: Windows 10 bombshell: Microsoft to KILL OFF Patch Tuesday
  7. http://news.cnet.com/Microsoft-details-new-security-plan/2100-1002_3-5088846.html
  8. Kurtz, George: Operation “Aurora” Hit Google, Others, 2010. január 14. (Hozzáférés: 2010. január 14.)
  9. Leffall, Jabulani: Are Patches Leading to Exploits?. The Register, 2007. október 12. [2009. január 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2009. február 25.)
  10. Példa. [2016. március 14-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. március 10.)
  11. Rains, Tim: The Risk of Running Windows XP After Support Ends April 2014. Microsoft Security Blog, 2013. augusztus 15. [2013. augusztus 27-i dátummal az eredetiből archiválva]. (Hozzáférés: 2013. augusztus 27.)
  12. Microsoft Warns of Permanent Zero-Day Exploits for Windows XP. InfoSecurity, 2013. augusztus 20. [2009. január 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2013. augusztus 27.)
  13. Zero day mindörökké – riogat a Microsoft. HwSw, 2013. augusztus 21. (Hozzáférés: 2013. augusztus 27.)
  14. Strong, Ben: Google and Microsoft Cheat on Slow Start (blog). benstrong.com, 2010. november 25. [2013. december 7-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. augusztus 7.)
  15. Layden, John. „Patch Tuesday update triggered Skype outage”, The Register, 2007. augusztus 20. (Hozzáférés: 2007. augusztus 28.) 
  16. Official Google Enterprise Blog: Make it “App Tuesday”: avoid patches, embrace new apps
  17. Összehangolja frissítési ciklusát a Microsoft és az Adobe

További információk

szerkesztés