Patch Tuesday

A Wikipédiából, a szabad enciklopédiából

A Patch Tuesday (magyarul kb. frissítő kedd) minden hónap második keddje (általában magyar idő szerint kedd este, 17:00 UTC), amikor a Microsoft megjelenteti az új biztonsági frissítéseket.[1]

A Microsoft a Windows 98-cal kezdve vezette be a „Windows Update” rendszert, amivel az időközönként megjelenő patcheket lehetett letölteni a Windowshoz és annak komponenseihez. A Microsoft Update megjelenésével már lehetővé vált más Microsoft-termékek, köztük az Office, a Visual Studio, az SQL Server, a Windows Defender frissítéseinek vizsgálata és letöltése.

A Microsoft szokásává vált, hogy az év páratlan hónapjaiban kevesebb, a páros hónapokban több frissítést jelentet meg.[2][3][4]

Néha két frissítőkedd közé beiktatnak egy rendkívüli frissítőkeddet, 14 nappal a szokásos esemény után. Vannak olyan termékek, aminek a frissítései naponta érkeznek (a Windows Defender és a Microsoft Security Essentials definíciófrissítései) vagy a szokásostól teljesen eltérő időpontokban.

A Microsoft megközelítése[szerkesztés | forrásszöveg szerkesztése]

A javítások telepítésének költségei[szerkesztés | forrásszöveg szerkesztése]

A Windows Update-rendszernek két problémája volt, melyek a felhasználók táborának két ellentétes pólusát érintették. Az első az volt, hogy a kevésbé hozzáértő felhasználók nem ismerték a Windows Update-et, és ezért nem futtatták azt. A Microsoft megoldása erre az „Automatikus frissítések” (Automatic Update) bevezetése volt, ami a felhasználót értesítette az ő rendszerét érintő új javítások megjelenéséről.

A második probléma nagyvállalati szinten jelentkezett. Ezeknél a cégeknél, ahol több száz vagy több ezer Windowst használnak, egyre nehezebb volt meggyőződni arról, hogy a vállalat minden gépe naprakész a frissítésekkel. A problémát súlyosbította, hogy egyszer-egyszer a javítócsomagok megváltoztatták a szoftver megszokott működését, és el kellett őket távolítani.

A patchek telepítése költségeinek csökkentése céljából a Microsoft 2003 októberében bevezette a Patch Tuesday fogalmát.[5] Ennek lényege az, hogy a biztonsági javításokat egy hónapon keresztül hagyják gyűlni, majd abban az időpontban „szabadítják rá” a rendszerekre, amikor erre a rendszergazdák számítanak. Ezt az időpontot úgy választották meg, hogy ne legyen túl közel a hét elejéhez, de a hétvégétől kellően távol legyen, hogy a patchekkel kapcsolatos problémákat még a hétvége előtt meg lehessen oldani. Maga a „Patch Tuesday” név használata csak 2004 harmadik negyedévétől terjedt el. Egyes iparági elemzők a rákövetkező napot „Exploit Wednesday”-nek, vagy akár a támadás napjának/Day Zero-nak nevezik, amikor a hackerek támadást indíthatnak az újonnan bejelentett sérülékenységek kihasználására.

Vállalati környezetben a javításokat gyakran nem gépenként töltik le a Microsoft oldaláról, hanem közbeiktatnak valamilyen szerveroldali megoldást a javítások engedélyezésére, elosztására. Ilyen az ingyenes Windows Server Update Services (WSUS), vagy a nagyobb tudású System Center Configuration Manager (korábban SMS vagy Systems Management Server).

Hatása az internetre[szerkesztés | forrásszöveg szerkesztése]

A Patch Tuesday biztonsági következményei[szerkesztés | forrásszöveg szerkesztése]

A legnyilvánvalóbb biztonsági következmény, hogy olyan biztonsági problémák megoldására, amikre már kidolgozták a javítást, akár egy hónapot is várni kell. Ez a megoldás megfelelő lehet, ha a sebezhetőség nem ismert széles körben, vagy kevés ügyfelet érint, de nem mindig ez a helyzet.

A múltban előfordult néhányszor, hogy a sebezhetőségről kitudódtak az információk a szokásos keddi javítás megérkezése előtt, vagy akár a sebezhetőséget kiaknázó malware-ek is megjelentek. Ilyenkor a Microsoft néha soron kívül (out-of-band) is kibocsát javításokat.

Exploit Wednesday[szerkesztés | forrásszöveg szerkesztése]

Sok esetben a patch megjelenését követően nagyon hamar megjelennek az adott sebezhetőséget kihasználó, rosszindulatú programok. A patch analizálásával ugyanis a férgek írói könnyebben rájöhetnek, hogy lehet kiaknázni az adott sebezhetőséget,[6] a még patcheletlen számítógépeken. Innen jön az „Exploit Wednesday” elnevezés.[7]

A rosszindulatú kódok írói arra is rájöttek, hogy ha éppen a hónap második keddjén kezdik terjeszteni az új, foltozatlan sebezhetőséget kiaknázó malware-t[8], a lehető legtöbb idejük marad a terjedésre, mielőtt a Microsoft következő frissítési ciklusában kijavítanák a hibát.

A Windows XP esete[szerkesztés | forrásszöveg szerkesztése]

A Microsoft figyelmezteti a felhasználókat, hogy 2014. április 8. után, ahogy a Windows XP támogatási időszaka lejár, a Windows XP-t futtató rendszerek örökre védtelenek lesznek a nulladik napi támadásokkal szemben, hiszen az újabb Windowsokhoz készített javítások visszafejtésével a férgek írói a Windows XP-n működő, támadó kódot írhatnak, és ezek a biztonsági rések sohasem kerülnek majd befoltozásra.[9][10][11]

Egyéb következmények[szerkesztés | forrásszöveg szerkesztése]

A Microsoft letöltési szerverei nem tartják tiszteletben a TCP lassú kezdés torlódásvédelmi stratégiáit.[12] Ennek következményeként az internetet jelentősen lelassíthatják a frissítéseket éppen letöltő számítógépek; ez különösen ott érzékelhető, ahol egyetlen, korlátozott sávszélességű kapcsolaton sok windowsos számítógép frissíti magát, például kisvállalkozásoknál. A frissítés sávszélességigénye csökkenthető, ha a vállalat számítógépeit menedzselt módon, például a Windows Server Update Services segítségével frissítik.

A Patch Tuesday-t követően számítógépek milliói indulnak újra viszonylag rövid idő alatt. Ez megnöveli az internet szervereire nehezedő terhelést, ahogy a különböző kliensszoftverek ki- és újra bejelentkeznek.

2007 augusztusában például a Skype két napig nem működött a Patch Tuesday-t követően; a Skype szerint ezt a szervereik egy korábban nem ismert szoftverhibája okozta, amit az abnormálisan sok újrainduló gép hozott napvilágra. [13]

Kapcsolódó események[szerkesztés | forrásszöveg szerkesztése]

App Tuesday[szerkesztés | forrásszöveg szerkesztése]

A Google 2010 júniusától a Microsoft frissítőkeddjét rendszeresen meglovagolva, minden hónap második keddjén a havi rendszeres tevékenységgel járó frissítések helyett saját webalkalmazásait, a Google Apps Marketplace-et ajánlja.[14]

Adobe[szerkesztés | forrásszöveg szerkesztése]

Az Adobe cég 2012 novemberétől összehangolja frissítési ciklusát a Microsofttal, azzal összefüggésben, hogy a Windows 8-cal debütált Internet Explorer 10-be beleintegrálták a Adobe Flash plugint.[15]

Fordítás[szerkesztés | forrásszöveg szerkesztése]

  • Ez a szócikk részben vagy egészben a Patch Tuesday című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel.

Források[szerkesztés | forrásszöveg szerkesztése]

  1. Security updates. Microsoft, 2007. október 9. (Hozzáférés: 2007. november 2.)
  2. ComputerWorld: Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week
  3. ItProPortal: Microsoft Ready To Patch 34 Security Vulnerabilities
  4. TechWorld: Microsoft to patch critical Windows Server vulnerability
  5. http://news.cnet.com/Microsoft-details-new-security-plan/2100-1002_3-5088846.html
  6. Kurtz, George: Operation “Aurora” Hit Google, Others, 2010. január 14. (Hozzáférés: 2010. január 14.)
  7. Leffall, Jabulani: Are Patches Leading to Exploits?. The Register, 2007. október 12. (Hozzáférés: 2009. február 25.)
  8. Példa
  9. Rains, Tim: The Risk of Running Windows XP After Support Ends April 2014. Microsoft Security Blog, 2013. augusztus 15. (Hozzáférés: 2013. augusztus 27.)
  10. Microsoft Warns of Permanent Zero-Day Exploits for Windows XP. InfoSecurity, 2013. augusztus 20. (Hozzáférés: 2013. augusztus 27.)
  11. Zero day mindörökké – riogat a Microsoft. HwSw, 2013. augusztus 21. (Hozzáférés: 2013. augusztus 27.)
  12. Strong, Ben: Google and Microsoft Cheat on Slow Start (blog). benstrong.com, 2010. november 25
  13. Layden, John. „Patch Tuesday update triggered Skype outage”, The Register, 2007. augusztus 20. (Hozzáférés ideje: 2007. augusztus 28.) 
  14. Official Google Enterprise Blog: Make it “App Tuesday”: avoid patches, embrace new apps
  15. Összehangolja frissítési ciklusát a Microsoft és az Adobe

További információk[szerkesztés | forrásszöveg szerkesztése]