Patch Tuesday
A Patch Tuesday vagy Update Tuesday[1] (magyarul kb. frissítő kedd, hibajavító kedd vagy Patch Kedd) minden hónap második keddje (általában magyar idő szerint kedd este, 17:00 UTC), amikor a Microsoft megjelenteti az új biztonsági frissítéseket.[2]
A Microsoft a Windows 98-cal kezdve vezette be a „Windows Update” rendszert, amivel az időközönként megjelenő patcheket lehetett letölteni a Windowshoz és annak komponenseihez. A Microsoft Update megjelenésével már lehetővé vált más Microsoft-termékek, köztük az Office, a Visual Studio, az SQL Server, a Windows Defender frissítéseinek vizsgálata és letöltése.
A Microsoftnak egy időben szokása volt, hogy az év páratlan hónapjaiban kevesebb, a páros hónapokban több frissítést jelentet meg.[3][4][5]
Néha két frissítőkedd közé beiktatnak egy rendkívüli frissítőkeddet, 14 nappal a szokásos esemény után. Vannak olyan termékek, aminek a frissítései naponta érkeznek (a Windows Defender és a Microsoft Security Essentials definíciófrissítései) vagy a szokásostól teljesen eltérő időpontokban.
A 2015-ös Microsoft Ignite konferencián bejelentették, hogy változni fog a biztonsági és egyéb javítások terjesztésének menete: az otthoni PC-kre, tabletekre, telefonokra 24 órában, a hét minden napján érkeznek az új frissítések; a nagyvállalati Windows 10-ek továbbra is havi frissítési ciklusban maradnak majd, amit Windows Update for Business néven terveznek újra.[6]
A Microsoft megközelítése
[szerkesztés]A javítások telepítésének költségei
[szerkesztés]A Windows Update-rendszernek két problémája volt, melyek a felhasználók táborának két ellentétes pólusát érintették. Az első az volt, hogy a kevésbé hozzáértő felhasználók nem ismerték a Windows Update-et, és ezért nem futtatták azt. A Microsoft megoldása erre az „Automatikus frissítések” (Automatic Update) bevezetése volt, ami a felhasználót értesítette az ő rendszerét érintő új javítások megjelenéséről.
A második probléma nagyvállalati szinten jelentkezett. Ezeknél a cégeknél, ahol több száz vagy több ezer Windowst használnak, egyre nehezebb volt meggyőződni arról, hogy a vállalat minden gépe naprakész a frissítésekkel. A problémát súlyosbította, hogy egyszer-egyszer a javítócsomagok megváltoztatták a szoftver megszokott működését, és el kellett őket távolítani.
A patchek telepítése költségeinek csökkentése céljából a Microsoft 2003 októberében bevezette a Patch Tuesday fogalmát.[7] Ennek lényege az, hogy a biztonsági javításokat egy hónapon keresztül hagyják gyűlni, majd abban az időpontban „szabadítják rá” a rendszerekre, amikor erre a rendszergazdák számítanak. Ezt az időpontot úgy választották meg, hogy ne legyen túl közel a hét elejéhez, de a hétvégétől kellően távol legyen, hogy a patchekkel kapcsolatos problémákat még a hétvége előtt meg lehessen oldani. Maga a „Patch Tuesday” név használata csak 2004 harmadik negyedévétől terjedt el. Egyes iparági elemzők a rákövetkező napot „Exploit Wednesday”-nek, vagy akár a támadás napjának/Day Zero-nak nevezik, amikor a hackerek támadást indíthatnak az újonnan bejelentett sérülékenységek kihasználására.
Vállalati környezetben a javításokat gyakran nem gépenként töltik le a Microsoft oldaláról, hanem közbeiktatnak valamilyen szerveroldali megoldást a javítások engedélyezésére, elosztására. Ilyen az ingyenes Windows Server Update Services (WSUS), vagy a nagyobb tudású System Center Configuration Manager (korábban SMS vagy Systems Management Server).
Hatása az internetre
[szerkesztés]A Patch Tuesday biztonsági következményei
[szerkesztés]A legnyilvánvalóbb biztonsági következmény, hogy olyan biztonsági problémák megoldására, amikre már kidolgozták a javítást, akár egy hónapot is várni kell. Ez a megoldás megfelelő lehet, ha a sebezhetőség nem ismert széles körben, vagy kevés ügyfelet érint, de nem mindig ez a helyzet.
A múltban előfordult néhányszor, hogy a sebezhetőségről kitudódtak az információk a szokásos keddi javítás megérkezése előtt, vagy akár a sebezhetőséget kiaknázó malware-ek is megjelentek. Ilyenkor a Microsoft néha soron kívül (out-of-band) is kibocsát javításokat.
Exploit Wednesday
[szerkesztés]Sok esetben a patch megjelenését követően nagyon hamar megjelennek az adott sebezhetőséget kihasználó, rosszindulatú programok. A patch analizálásával ugyanis a férgek írói könnyebben rájöhetnek, hogy lehet kiaknázni az adott sebezhetőséget,[8] a még patcheletlen számítógépeken. Innen jön az „Exploit Wednesday” elnevezés.[9]
A rosszindulatú kódok írói arra is rájöttek, hogy ha éppen a hónap második keddjén kezdik terjeszteni az új, foltozatlan sebezhetőséget kiaknázó malware-t,[10] a lehető legtöbb idejük marad a terjedésre, mielőtt a Microsoft következő frissítési ciklusában kijavítanák a hibát.
A Windows XP esete
[szerkesztés]A Microsoft figyelmezteti a felhasználókat, hogy 2014. április 8. után, ahogy a Windows XP támogatási időszaka lejár, a Windows XP-t futtató rendszerek örökre védtelenek lesznek a nulladik napi támadásokkal szemben, hiszen az újabb Windowsokhoz készített javítások visszafejtésével a férgek írói a Windows XP-n működő, támadó kódot írhatnak, és ezek a biztonsági rések sohasem kerülnek majd befoltozásra.[11][12][13]
Egyéb következmények
[szerkesztés]A Microsoft letöltési szerverei nem tartják tiszteletben a TCP lassú kezdés torlódásvédelmi stratégiáit.[14] Ennek következményeként az internetet jelentősen lelassíthatják a frissítéseket éppen letöltő számítógépek; ez különösen ott érzékelhető, ahol egyetlen, korlátozott sávszélességű kapcsolaton sok windowsos számítógép frissíti magát, például kisvállalkozásoknál. A frissítés sávszélességigénye csökkenthető, ha a vállalat számítógépeit menedzselt módon, például a Windows Server Update Services segítségével frissítik.
A Patch Tuesday-t követően számítógépek milliói indulnak újra viszonylag rövid idő alatt. Ez megnöveli az internet szervereire nehezedő terhelést, ahogy a különböző kliensszoftverek ki- és újra bejelentkeznek.
2007 augusztusában például a Skype két napig nem működött a Patch Tuesday-t követően; a Skype szerint ezt a szervereik egy korábban nem ismert szoftverhibája okozta, amit az abnormálisan sok újrainduló gép hozott napvilágra.[15]
Kapcsolódó események
[szerkesztés]App Tuesday
[szerkesztés]A Google 2010 júniusától a Microsoft frissítőkeddjét rendszeresen meglovagolva, minden hónap második keddjén a havi rendszeres tevékenységgel járó frissítések helyett saját webalkalmazásait, a Google Apps Marketplace-et ajánlja.[16]
Adobe
[szerkesztés]Az Adobe cég 2012 novemberétől összehangolja frissítési ciklusát a Microsofttal, azzal összefüggésben, hogy a Windows 8-cal debütált Internet Explorer 10-be beleintegrálták a Adobe Flash plugint.[17]
Fordítás
[szerkesztés]- Ez a szócikk részben vagy egészben a Patch Tuesday című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.
Források
[szerkesztés]- ↑ August updates for Windows 8.1 and Windows Server 2012 R2. Windows Experience Blog. (Hozzáférés: 2015. november 25.)
- ↑ Security updates. Microsoft, 2007. október 9. (Hozzáférés: 2007. november 2.)
- ↑ ComputerWorld: Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week. [2014. április 20-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. július 9.)
- ↑ ItProPortal: Microsoft Ready To Patch 34 Security Vulnerabilities
- ↑ TechWorld: Microsoft to patch critical Windows Server vulnerability. [2011. június 24-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. július 9.)
- ↑ The Register: Windows 10 bombshell: Microsoft to KILL OFF Patch Tuesday
- ↑ http://news.cnet.com/Microsoft-details-new-security-plan/2100-1002_3-5088846.html
- ↑ Kurtz, George: Operation “Aurora” Hit Google, Others, 2010. január 14. (Hozzáférés: 2010. január 14.)
- ↑ Leffall, Jabulani: Are Patches Leading to Exploits?. The Register, 2007. október 12. [2009. január 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2009. február 25.)
- ↑ Példa. [2016. március 14-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. március 10.)
- ↑ Rains, Tim: The Risk of Running Windows XP After Support Ends April 2014. Microsoft Security Blog, 2013. augusztus 15. [2013. augusztus 27-i dátummal az eredetiből archiválva]. (Hozzáférés: 2013. augusztus 27.)
- ↑ Microsoft Warns of Permanent Zero-Day Exploits for Windows XP. InfoSecurity, 2013. augusztus 20. [2009. január 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2013. augusztus 27.)
- ↑ Zero day mindörökké – riogat a Microsoft. HwSw, 2013. augusztus 21. (Hozzáférés: 2013. augusztus 27.)
- ↑ Strong, Ben: Google and Microsoft Cheat on Slow Start (blog). benstrong.com, 2010. november 25. [2013. december 7-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. augusztus 7.)
- ↑ Layden, John. „Patch Tuesday update triggered Skype outage”, The Register, 2007. augusztus 20. (Hozzáférés: 2007. augusztus 28.)
- ↑ Official Google Enterprise Blog: Make it “App Tuesday”: avoid patches, embrace new apps
- ↑ Összehangolja frissítési ciklusát a Microsoft és az Adobe