Patch Tuesday
A Patch Tuesday vagy Update Tuesday[1] (magyarul kb. frissítő kedd, hibajavító kedd vagy Patch Kedd) minden hónap második keddje (általában magyar idő szerint kedd este, 17:00 UTC), amikor a Microsoft megjelenteti az új biztonsági frissítéseket.[2]
A Microsoft a Windows 98-cal kezdve vezette be a „Windows Update” rendszert, amivel az időközönként megjelenő patcheket lehetett letölteni a Windowshoz és annak komponenseihez. A Microsoft Update megjelenésével már lehetővé vált más Microsoft-termékek, köztük az Office, a Visual Studio, az SQL Server, a Windows Defender frissítéseinek vizsgálata és letöltése.
A Microsoftnak egy időben szokása volt, hogy az év páratlan hónapjaiban kevesebb, a páros hónapokban több frissítést jelentet meg.[3][4][5]
Néha két frissítőkedd közé beiktatnak egy rendkívüli frissítőkeddet, 14 nappal a szokásos esemény után. Vannak olyan termékek, aminek a frissítései naponta érkeznek (a Windows Defender és a Microsoft Security Essentials definíciófrissítései) vagy a szokásostól teljesen eltérő időpontokban.
A 2015-ös Microsoft Ignite konferencián bejelentették, hogy változni fog a biztonsági és egyéb javítások terjesztésének menete: az otthoni PC-kre, tabletekre, telefonokra 24 órában, a hét minden napján érkeznek az új frissítések; a nagyvállalati Windows 10-ek továbbra is havi frissítési ciklusban maradnak majd, amit Windows Update for Business néven terveznek újra.[6]
A Microsoft megközelítése
szerkesztésA javítások telepítésének költségei
szerkesztésA Windows Update-rendszernek két problémája volt, melyek a felhasználók táborának két ellentétes pólusát érintették. Az első az volt, hogy a kevésbé hozzáértő felhasználók nem ismerték a Windows Update-et, és ezért nem futtatták azt. A Microsoft megoldása erre az „Automatikus frissítések” (Automatic Update) bevezetése volt, ami a felhasználót értesítette az ő rendszerét érintő új javítások megjelenéséről.
A második probléma nagyvállalati szinten jelentkezett. Ezeknél a cégeknél, ahol több száz vagy több ezer Windowst használnak, egyre nehezebb volt meggyőződni arról, hogy a vállalat minden gépe naprakész a frissítésekkel. A problémát súlyosbította, hogy egyszer-egyszer a javítócsomagok megváltoztatták a szoftver megszokott működését, és el kellett őket távolítani.
A patchek telepítése költségeinek csökkentése céljából a Microsoft 2003 októberében bevezette a Patch Tuesday fogalmát.[7] Ennek lényege az, hogy a biztonsági javításokat egy hónapon keresztül hagyják gyűlni, majd abban az időpontban „szabadítják rá” a rendszerekre, amikor erre a rendszergazdák számítanak. Ezt az időpontot úgy választották meg, hogy ne legyen túl közel a hét elejéhez, de a hétvégétől kellően távol legyen, hogy a patchekkel kapcsolatos problémákat még a hétvége előtt meg lehessen oldani. Maga a „Patch Tuesday” név használata csak 2004 harmadik negyedévétől terjedt el. Egyes iparági elemzők a rákövetkező napot „Exploit Wednesday”-nek, vagy akár a támadás napjának/Day Zero-nak nevezik, amikor a hackerek támadást indíthatnak az újonnan bejelentett sérülékenységek kihasználására.
Vállalati környezetben a javításokat gyakran nem gépenként töltik le a Microsoft oldaláról, hanem közbeiktatnak valamilyen szerveroldali megoldást a javítások engedélyezésére, elosztására. Ilyen az ingyenes Windows Server Update Services (WSUS), vagy a nagyobb tudású System Center Configuration Manager (korábban SMS vagy Systems Management Server).
Hatása az internetre
szerkesztésA Patch Tuesday biztonsági következményei
szerkesztésA legnyilvánvalóbb biztonsági következmény, hogy olyan biztonsági problémák megoldására, amikre már kidolgozták a javítást, akár egy hónapot is várni kell. Ez a megoldás megfelelő lehet, ha a sebezhetőség nem ismert széles körben, vagy kevés ügyfelet érint, de nem mindig ez a helyzet.
A múltban előfordult néhányszor, hogy a sebezhetőségről kitudódtak az információk a szokásos keddi javítás megérkezése előtt, vagy akár a sebezhetőséget kiaknázó malware-ek is megjelentek. Ilyenkor a Microsoft néha soron kívül (out-of-band) is kibocsát javításokat.
Exploit Wednesday
szerkesztésSok esetben a patch megjelenését követően nagyon hamar megjelennek az adott sebezhetőséget kihasználó, rosszindulatú programok. A patch analizálásával ugyanis a férgek írói könnyebben rájöhetnek, hogy lehet kiaknázni az adott sebezhetőséget,[8] a még patcheletlen számítógépeken. Innen jön az „Exploit Wednesday” elnevezés.[9]
A rosszindulatú kódok írói arra is rájöttek, hogy ha éppen a hónap második keddjén kezdik terjeszteni az új, foltozatlan sebezhetőséget kiaknázó malware-t,[10] a lehető legtöbb idejük marad a terjedésre, mielőtt a Microsoft következő frissítési ciklusában kijavítanák a hibát.
A Windows XP esete
szerkesztésA Microsoft figyelmezteti a felhasználókat, hogy 2014. április 8. után, ahogy a Windows XP támogatási időszaka lejár, a Windows XP-t futtató rendszerek örökre védtelenek lesznek a nulladik napi támadásokkal szemben, hiszen az újabb Windowsokhoz készített javítások visszafejtésével a férgek írói a Windows XP-n működő, támadó kódot írhatnak, és ezek a biztonsági rések sohasem kerülnek majd befoltozásra.[11][12][13]
Egyéb következmények
szerkesztésA Microsoft letöltési szerverei nem tartják tiszteletben a TCP lassú kezdés torlódásvédelmi stratégiáit.[14] Ennek következményeként az internetet jelentősen lelassíthatják a frissítéseket éppen letöltő számítógépek; ez különösen ott érzékelhető, ahol egyetlen, korlátozott sávszélességű kapcsolaton sok windowsos számítógép frissíti magát, például kisvállalkozásoknál. A frissítés sávszélességigénye csökkenthető, ha a vállalat számítógépeit menedzselt módon, például a Windows Server Update Services segítségével frissítik.
A Patch Tuesday-t követően számítógépek milliói indulnak újra viszonylag rövid idő alatt. Ez megnöveli az internet szervereire nehezedő terhelést, ahogy a különböző kliensszoftverek ki- és újra bejelentkeznek.
2007 augusztusában például a Skype két napig nem működött a Patch Tuesday-t követően; a Skype szerint ezt a szervereik egy korábban nem ismert szoftverhibája okozta, amit az abnormálisan sok újrainduló gép hozott napvilágra.[15]
Kapcsolódó események
szerkesztésApp Tuesday
szerkesztésA Google 2010 júniusától a Microsoft frissítőkeddjét rendszeresen meglovagolva, minden hónap második keddjén a havi rendszeres tevékenységgel járó frissítések helyett saját webalkalmazásait, a Google Apps Marketplace-et ajánlja.[16]
Adobe
szerkesztésAz Adobe cég 2012 novemberétől összehangolja frissítési ciklusát a Microsofttal, azzal összefüggésben, hogy a Windows 8-cal debütált Internet Explorer 10-be beleintegrálták a Adobe Flash plugint.[17]
Fordítás
szerkesztés- Ez a szócikk részben vagy egészben a Patch Tuesday című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.
Források
szerkesztés- ↑ August updates for Windows 8.1 and Windows Server 2012 R2. Windows Experience Blog. (Hozzáférés: 2015. november 25.)
- ↑ Security updates. Microsoft, 2007. október 9. (Hozzáférés: 2007. november 2.)
- ↑ ComputerWorld: Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week. [2014. április 20-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. július 9.)
- ↑ ItProPortal: Microsoft Ready To Patch 34 Security Vulnerabilities
- ↑ TechWorld: Microsoft to patch critical Windows Server vulnerability. [2011. június 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. július 9.)
- ↑ The Register: Windows 10 bombshell: Microsoft to KILL OFF Patch Tuesday
- ↑ http://news.cnet.com/Microsoft-details-new-security-plan/2100-1002_3-5088846.html
- ↑ Kurtz, George: Operation “Aurora” Hit Google, Others, 2010. január 14. (Hozzáférés: 2010. január 14.)
- ↑ Leffall, Jabulani: Are Patches Leading to Exploits?. The Register, 2007. október 12. [2009. január 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2009. február 25.)
- ↑ Példa. [2016. március 14-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. március 10.)
- ↑ Rains, Tim: The Risk of Running Windows XP After Support Ends April 2014. Microsoft Security Blog, 2013. augusztus 15. [2013. augusztus 27-i dátummal az eredetiből archiválva]. (Hozzáférés: 2013. augusztus 27.)
- ↑ Microsoft Warns of Permanent Zero-Day Exploits for Windows XP. InfoSecurity, 2013. augusztus 20. [2009. január 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2013. augusztus 27.)
- ↑ Zero day mindörökké – riogat a Microsoft. HwSw, 2013. augusztus 21. (Hozzáférés: 2013. augusztus 27.)
- ↑ Strong, Ben: Google and Microsoft Cheat on Slow Start (blog). benstrong.com, 2010. november 25. [2013. december 7-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. augusztus 7.)
- ↑ Layden, John. „Patch Tuesday update triggered Skype outage”, The Register, 2007. augusztus 20. (Hozzáférés: 2007. augusztus 28.)
- ↑ Official Google Enterprise Blog: Make it “App Tuesday”: avoid patches, embrace new apps
- ↑ Összehangolja frissítési ciklusát a Microsoft és az Adobe