Patch Tuesday

A Patch Tuesday vagy Update Tuesday^[1] (magyarul kb. frissítő kedd, hibajavító kedd vagy Patch Kedd) minden hónap második keddje (általában magyar idő szerint kedd este, 17:00 UTC), amikor a Microsoft megjelenteti az új biztonsági frissítéseket.^[2]

A Microsoft a Windows 98-cal kezdve vezette be a „Windows Update” rendszert, amivel az időközönként megjelenő patcheket lehetett letölteni a Windowshoz és annak komponenseihez. A Microsoft Update megjelenésével már lehetővé vált más Microsoft-termékek, köztük az Office, a Visual Studio, az SQL Server, a Windows Defender frissítéseinek vizsgálata és letöltése.

A Microsoftnak egy időben szokása volt, hogy az év páratlan hónapjaiban kevesebb, a páros hónapokban több frissítést jelentet meg.^[3]^[4]^[5]

Néha két frissítőkedd közé beiktatnak egy rendkívüli frissítőkeddet, 14 nappal a szokásos esemény után. Vannak olyan termékek, aminek a frissítései naponta érkeznek (a Windows Defender és a Microsoft Security Essentials definíciófrissítései) vagy a szokásostól teljesen eltérő időpontokban.

A 2015-ös Microsoft Ignite konferencián bejelentették, hogy változni fog a biztonsági és egyéb javítások terjesztésének menete: az otthoni PC-kre, tabletekre, telefonokra 24 órában, a hét minden napján érkeznek az új frissítések; a nagyvállalati Windows 10-ek továbbra is havi frissítési ciklusban maradnak majd, amit Windows Update for Business néven terveznek újra.^[6]

A Microsoft megközelítése[szerkesztés]

A javítások telepítésének költségei[szerkesztés]

A Windows Update-rendszernek két problémája volt, melyek a felhasználók táborának két ellentétes pólusát érintették. Az első az volt, hogy a kevésbé hozzáértő felhasználók nem ismerték a Windows Update-et, és ezért nem futtatták azt. A Microsoft megoldása erre az „Automatikus frissítések” (Automatic Update) bevezetése volt, ami a felhasználót értesítette az ő rendszerét érintő új javítások megjelenéséről.

A második probléma nagyvállalati szinten jelentkezett. Ezeknél a cégeknél, ahol több száz vagy több ezer Windowst használnak, egyre nehezebb volt meggyőződni arról, hogy a vállalat minden gépe naprakész a frissítésekkel. A problémát súlyosbította, hogy egyszer-egyszer a javítócsomagok megváltoztatták a szoftver megszokott működését, és el kellett őket távolítani.

A patchek telepítése költségeinek csökkentése céljából a Microsoft 2003 októberében bevezette a Patch Tuesday fogalmát.^[7] Ennek lényege az, hogy a biztonsági javításokat egy hónapon keresztül hagyják gyűlni, majd abban az időpontban „szabadítják rá” a rendszerekre, amikor erre a rendszergazdák számítanak. Ezt az időpontot úgy választották meg, hogy ne legyen túl közel a hét elejéhez, de a hétvégétől kellően távol legyen, hogy a patchekkel kapcsolatos problémákat még a hétvége előtt meg lehessen oldani. Maga a „Patch Tuesday” név használata csak 2004 harmadik negyedévétől terjedt el. Egyes iparági elemzők a rákövetkező napot „Exploit Wednesday”-nek, vagy akár a támadás napjának/Day Zero-nak nevezik, amikor a hackerek támadást indíthatnak az újonnan bejelentett sérülékenységek kihasználására.

Vállalati környezetben a javításokat gyakran nem gépenként töltik le a Microsoft oldaláról, hanem közbeiktatnak valamilyen szerveroldali megoldást a javítások engedélyezésére, elosztására. Ilyen az ingyenes Windows Server Update Services (WSUS), vagy a nagyobb tudású System Center Configuration Manager (korábban SMS vagy Systems Management Server).

Hatása az internetre[szerkesztés]

A Patch Tuesday biztonsági következményei[szerkesztés]

A legnyilvánvalóbb biztonsági következmény, hogy olyan biztonsági problémák megoldására, amikre már kidolgozták a javítást, akár egy hónapot is várni kell. Ez a megoldás megfelelő lehet, ha a sebezhetőség nem ismert széles körben, vagy kevés ügyfelet érint, de nem mindig ez a helyzet.

A múltban előfordult néhányszor, hogy a sebezhetőségről kitudódtak az információk a szokásos keddi javítás megérkezése előtt, vagy akár a sebezhetőséget kiaknázó malware-ek is megjelentek. Ilyenkor a Microsoft néha soron kívül (out-of-band) is kibocsát javításokat.

Exploit Wednesday[szerkesztés]

Sok esetben a patch megjelenését követően nagyon hamar megjelennek az adott sebezhetőséget kihasználó, rosszindulatú programok. A patch analizálásával ugyanis a férgek írói könnyebben rájöhetnek, hogy lehet kiaknázni az adott sebezhetőséget,^[8] a még patcheletlen számítógépeken. Innen jön az „Exploit Wednesday” elnevezés.^[9]

A rosszindulatú kódok írói arra is rájöttek, hogy ha éppen a hónap második keddjén kezdik terjeszteni az új, foltozatlan sebezhetőséget kiaknázó malware-t,^[10] a lehető legtöbb idejük marad a terjedésre, mielőtt a Microsoft következő frissítési ciklusában kijavítanák a hibát.

A Windows XP esete[szerkesztés]

A Microsoft figyelmezteti a felhasználókat, hogy 2014. április 8. után, ahogy a Windows XP támogatási időszaka lejár, a Windows XP-t futtató rendszerek örökre védtelenek lesznek a nulladik napi támadásokkal szemben, hiszen az újabb Windowsokhoz készített javítások visszafejtésével a férgek írói a Windows XP-n működő, támadó kódot írhatnak, és ezek a biztonsági rések sohasem kerülnek majd befoltozásra.^[11]^[12]^[13]

Egyéb következmények[szerkesztés]

A Microsoft letöltési szerverei nem tartják tiszteletben a TCP lassú kezdés torlódásvédelmi stratégiáit.^[14] Ennek következményeként az internetet jelentősen lelassíthatják a frissítéseket éppen letöltő számítógépek; ez különösen ott érzékelhető, ahol egyetlen, korlátozott sávszélességű kapcsolaton sok windowsos számítógép frissíti magát, például kisvállalkozásoknál. A frissítés sávszélességigénye csökkenthető, ha a vállalat számítógépeit menedzselt módon, például a Windows Server Update Services segítségével frissítik.

A Patch Tuesday-t követően számítógépek milliói indulnak újra viszonylag rövid idő alatt. Ez megnöveli az internet szervereire nehezedő terhelést, ahogy a különböző kliensszoftverek ki- és újra bejelentkeznek.

2007 augusztusában például a Skype két napig nem működött a Patch Tuesday-t követően; a Skype szerint ezt a szervereik egy korábban nem ismert szoftverhibája okozta, amit az abnormálisan sok újrainduló gép hozott napvilágra.^[15]

Kapcsolódó események[szerkesztés]

App Tuesday[szerkesztés]

A Google 2010 júniusától a Microsoft frissítőkeddjét rendszeresen meglovagolva, minden hónap második keddjén a havi rendszeres tevékenységgel járó frissítések helyett saját webalkalmazásait, a Google Apps Marketplace-et ajánlja.^[16]

Adobe[szerkesztés]

Az Adobe cég 2012 novemberétől összehangolja frissítési ciklusát a Microsofttal, azzal összefüggésben, hogy a Windows 8-cal debütált Internet Explorer 10-be beleintegrálták a Adobe Flash plugint.^[17]

Fordítás[szerkesztés]

Ez a szócikk részben vagy egészben a Patch Tuesday című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

Források[szerkesztés]

↑ August updates for Windows 8.1 and Windows Server 2012 R2. Windows Experience Blog. (Hozzáférés: 2015. november 25.)
↑ Security updates. Microsoft, 2007. október 9. (Hozzáférés: 2007. november 2.)
↑ ComputerWorld: Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week. [2014. április 20-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. július 9.)
↑ ItProPortal: Microsoft Ready To Patch 34 Security Vulnerabilities
↑ TechWorld: Microsoft to patch critical Windows Server vulnerability. [2011. június 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. július 9.)
↑ The Register: Windows 10 bombshell: Microsoft to KILL OFF Patch Tuesday
↑ http://news.cnet.com/Microsoft-details-new-security-plan/2100-1002_3-5088846.html
↑ Kurtz, George: Operation “Aurora” Hit Google, Others, 2010. január 14. (Hozzáférés: 2010. január 14.)
↑ Leffall, Jabulani: Are Patches Leading to Exploits?. The Register, 2007. október 12. [2009. január 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2009. február 25.)
↑ Példa. [2016. március 14-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. március 10.)
↑ Rains, Tim: The Risk of Running Windows XP After Support Ends April 2014. Microsoft Security Blog, 2013. augusztus 15. [2013. augusztus 27-i dátummal az eredetiből archiválva]. (Hozzáférés: 2013. augusztus 27.)
↑ Microsoft Warns of Permanent Zero-Day Exploits for Windows XP. InfoSecurity, 2013. augusztus 20. [2009. január 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2013. augusztus 27.)
↑ Zero day mindörökké – riogat a Microsoft. HwSw, 2013. augusztus 21. (Hozzáférés: 2013. augusztus 27.)
↑ Strong, Ben: Google and Microsoft Cheat on Slow Start (blog). benstrong.com, 2010. november 25. [2013. december 7-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. augusztus 7.)
↑ Layden, John. „Patch Tuesday update triggered Skype outage”, The Register, 2007. augusztus 20. (Hozzáférés: 2007. augusztus 28.)
↑ Official Google Enterprise Blog: Make it “App Tuesday”: avoid patches, embrace new apps
↑ Összehangolja frissítési ciklusát a Microsoft és az Adobe

További információk[szerkesztés]

Informatikai portál • összefoglaló, színes tartalomajánló lap

[1] August updates for Windows 8.1 and Windows Server 2012 R2. Windows Experience Blog. (Hozzáférés: 2015. november 25.)

[2] Security updates. Microsoft, 2007. október 9. (Hozzáférés: 2007. november 2.)

[3] ComputerWorld: Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week. [2014. április 20-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. július 9.)

[4] ItProPortal: Microsoft Ready To Patch 34 Security Vulnerabilities

[5] TechWorld: Microsoft to patch critical Windows Server vulnerability. [2011. június 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. július 9.)

[6] The Register: Windows 10 bombshell: Microsoft to KILL OFF Patch Tuesday

[7] ttp://news.cnet.com/Microsoft-details-new-security-plan/2100-1002_3-5088846.html

[8] Kurtz, George: Operation “Aurora” Hit Google, Others, 2010. január 14. (Hozzáférés: 2010. január 14.)

[9] Leffall, Jabulani: Are Patches Leading to Exploits?. The Register, 2007. október 12. [2009. január 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2009. február 25.)

[10] Példa. [2016. március 14-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. március 10.)

[11] Rains, Tim: The Risk of Running Windows XP After Support Ends April 2014. Microsoft Security Blog, 2013. augusztus 15. [2013. augusztus 27-i dátummal az eredetiből archiválva]. (Hozzáférés: 2013. augusztus 27.)

[12] Microsoft Warns of Permanent Zero-Day Exploits for Windows XP. InfoSecurity, 2013. augusztus 20. [2009. január 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2013. augusztus 27.)

[13] Zero day mindörökké – riogat a Microsoft. HwSw, 2013. augusztus 21. (Hozzáférés: 2013. augusztus 27.)

[14] Strong, Ben: Google and Microsoft Cheat on Slow Start (blog). benstrong.com, 2010. november 25. [2013. december 7-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. augusztus 7.)

[15] Layden, John. „Patch Tuesday update triggered Skype outage”, The Register, 2007. augusztus 20. (Hozzáférés: 2007. augusztus 28.)

[16] Official Google Enterprise Blog: Make it “App Tuesday”: avoid patches, embrace new apps

[17] Összehangolja frissítési ciklusát a Microsoft és az Adobe

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]