Patch Tuesday - Patch Tuesday

Patch Tuesday (také známý jako Aktualizovat úterý[1]) je neoficiální termín používaný k označení kdy Microsoft, Adobe, Věštec a další pravidelně vydávají softwarové opravy pro své softwarové produkty.[2] Toto odvětví je tímto způsobem široce označováno.[3][4][5] Microsoft formalizoval opravu úterý v říjnu 2003.[6]

Patch Tuesday se vyskytuje v druhé a někdy čtvrté úterý každého měsíce v Severní Americe. Pokud jde o integrované Windows Update Pokud jde o funkci (WU), Patch Tuesday začíná v 18:00 nebo 17:00 UTC (10:00 PST (UTC − 8) nebo 10:00 PDT (UTC − 7)).[7] Aktualizace se zobrazují v Centru stahování před přidáním na WU a na KB články a bulletin Technet se odemknou později.

Microsoft má vzor vydávání většího počtu aktualizací v sudých měsících a méně v lichých měsících.[8][9][10] Drobné aktualizace jsou vydávány také mimo Patch Tuesday. Denní aktualizace se skládají z malware aktualizace databáze pro Windows Defender a Microsoft Security Essentials. Někdy je výjimečné Patch Tuesday, dva týdny po pravidelném Patch Tuesday. Některé aktualizace mohou být vydány kdykoli.[11]

Dějiny

Začínání s Windows 98 „Microsoft zahrnul Windows Update, který po instalaci a spuštění zkontroluje záplaty na Okna a jeho součásti, které by společnost Microsoft občas vydávala. S vydáním Microsoft Update, tento systém také kontroluje aktualizace pro další produkty společnosti Microsoft, jako Microsoft Office, Vizuální studio a SQL Server.

Starší verze Windows Update utrpěly dva problémy:

  1. Méně zkušení uživatelé často o Windows Update nevěděli a nenainstalovali si jej. Microsoft tento problém zvrátil v Windows ME s Automatické aktualizace komponenta, která zobrazovala dostupnost aktualizací, s možností automatické instalace.
  2. Zákazníci s více kopiemi systému Windows, například firemní uživatelé, museli nejen aktualizovat každé nasazení systému Windows ve společnosti, ale také odinstalovat opravy vydané společností Microsoft, které narušily stávající funkce.

Společnost Microsoft představila „Patch Tuesday“ v říjnu 2003, aby snížila náklady na distribuci oprav.[12] Tento systém hromadí bezpečnostní záplaty za měsíc a všechny je odesílá druhé úterý každého měsíce, což je událost, na kterou se mohou správci systému připravit. Následující den, neformálně známý jako „Exploit Wednesday“,[13] označuje čas, kdy využije se mohou objevit ve volné přírodě, které využívají výhody nově oznámených chyb zabezpečení na neopravených počítačích.

Úterý byl vybrán jako optimální den v týdnu pro distribuci softwarových oprav. Dělá se to za účelem maximalizace času, který je k dispozici před nadcházejícím víkendem k opravě problémů, které by s těmito záplatami mohly nastat, a zároveň ponecháme pondělí volné řešení dalších neočekávaných problémů, které by mohly vzniknout během předchozího víkendu[Citace je zapotřebí ].

Bezpečnostní důsledky

Zjevným bezpečnostním důsledkem je, že bezpečnostní problémy, které mají řešení, jsou veřejnosti zadržovány až na měsíc. Tato zásada je přiměřená, pokud chyba zabezpečení není široce známá nebo je extrémně nejasná, ale není tomu tak vždy.

Vyskytly se případy, kdy se informace o zranitelnosti staly veřejnými nebo skutečnými červi obíhaly před dalším plánovaným Patch Tuesday. V kritických případech společnost Microsoft vydá odpovídající opravy, jakmile budou připraveny, čímž se sníží riziko, pokud budou aktualizace často kontrolovány a instalovány.

Na akci Ignite 2015 Microsoft odhalil změnu v distribuci bezpečnostních oprav. Vydávají aktualizace zabezpečení pro domácí počítače, tablety a telefony, jakmile budou připraveny, zatímco zákazníci z řad podniků zůstanou v měsíčním aktualizačním cyklu, který byl přepracován jako Windows Update pro firmy.[14]

Využijte středu

Mnoho vykořisťovatelských událostí je vidět krátce po vydání opravy;[15] analýza opravy pomáhá zneužít vývojáře k okamžitému využití dříve nezveřejněné chyby zabezpečení, která zůstane v neopravených systémech.[16] Proto byl vytvořen termín „Exploit Wednesday“.[17]

Ukončené verze systému Windows

Společnost Microsoft varovala uživatele, že ukončila podporu pro Windows XP počínaje 8. dubnem 2014 - uživatelé se systémem Windows XP poté by byli vystaveni riziku útoků. Jelikož bezpečnostní záplaty novějších verzí systému Windows mohou odhalit podobná (nebo stejná) slabá místa v novějších i starších verzích systému Windows, může to umožnit útoky na zařízení s nepodporovanými verzemi systému Windows (srov. "útoky nulového dne "). Společnost Microsoft však přestala tyto (a další) chyby zabezpečení v nepodporovaných verzích systému Windows opravovat, bez ohledu na to, jak se tyto chyby zabezpečení staly známými. Tyto chyby zabezpečení zůstala nefixovaná a zařízení se spuštěnými verzemi systému Windows byla zranitelná vůči útokům. the WannaCry ransomware a v květnu 2017 vydal opravy pro tehdy nepodporované systémy Windows XP, Windows 8 a Windows Server 2003 (kromě podporovaných verzí systému Windows).[18]

Pro Windows Vista „Rozšířená podpora“ byla ukončena 11. dubna 2017, což ponechá odhalené chyby zabezpečení neopravené, což vytvoří stejnou situaci pro Vista jako pro XP dříve.[19]

Pro Windows 7 (včetně aktualizace Service Pack 1), podpora skončila 14. ledna 2020,[19] a 10. ledna 2023 pro Windows 8.1;[19] to způsobí stejný problém „nefixovaných chyb zabezpečení“ pro uživatele těchto operačních systémů. Podpora pro Windows 8 již skončila 12. ledna 2016 (uživatelé si musí nainstalovat Windows 8.1 nebo Windows 10, aby mohli nadále získat podporu) a podpora pro Windows 7 bez SP1 byla ukončena 9. dubna 2013 (s možností instalace SP1 pro pokračování Chcete-li získat podporu do roku 2020, nebo musíte nainstalovat Windows 8.1 nebo Windows 10, abyste získali podporu po roce 2020).[19]

Windows 10

Jedna zásadní změna se zavedením Windows 10 bylo to, že Microsoft začal vydávat nový verze Windows 10 dvakrát ročně a s „zásadami moderního životního cyklu“ společnosti Microsoft začíná nově vydaná verze systému Windows 10 „ochrannou lhůtu“ pro předchozí verzi, pokud jde o podporu - na rozdíl od předchozích produktů Windows, které dostaly jen občasné aktualizace prostřednictvím aktualizací Service Pack, a podpora byla řízena „zásadou pevného životního cyklu“. Díky této nové zásadě budou verze Windows 10 pro Home a Pro poskytovány s aktualizacemi zabezpečení a funkcí (tzv. „Hlavní podpora“) po dobu až 18 měsíců po vydání, „podnikové“ a vzdělávací verze po dobu 24 měsíců.[19] Uvedu příklad: podpora pro Windows 10 Home / Pro verze 1703 (která byla vydána v dubnu 2017) bude společností Microsoft zastavena v říjnu 2018 a podpora pro verze 1507 a 1511 (vydané v roce 2015) oficiálně skončila v roce 2017.[20] Microsoft oznámil, že do 14. října 2025 poskytne „rozšířenou podporu“ (zabezpečení, ale nikoli aktualizace funkcí) alespoň pro jednu verzi Windows 10 „pololetního kanálu“ (SAC) (SAC).[21]

Podle společnosti Microsoft „zařízení musí nainstalovat nejnovější verzi (aktualizaci funkcí) dříve, než [aktuální] verze dosáhne konce služby, aby pomohla udržet vaše zařízení v bezpečí a zůstalo podporováno společností Microsoft“.[19] Stejně jako v předchozích operačních systémech Windows je každé zařízení se spuštěnou nepodporovanou verzí systému Windows (které již nepřijímá bezpečnostní záplaty) potenciálně ovlivněno problémem „nefixovaných chyb zabezpečení“ počínaje datem „konce podpory“.[22] Abychom tomu čelili, společnost Microsoft navrhla aktualizační systém pro edice Home a Pro systému Windows 10 tak, aby to bylo ve většině případů, pokud je to technicky možné nejnovější verze systému Windows se stáhne a nainstaluje automaticky - toto však vyvolalo kritiku kvůli dalším problémům, které mohou přinést vynucené aktualizace.

Verze Windows 10
VerzeKrycí jménoMarketingový názevStavětDatum vydáníPodpora do (a podpora stavu podle barvy)
  • Domov
  • Pro

  • Pro vzdělávání

  • Pro pro pracovní stanice
  • Podnik

  • Vzdělávání
  • LTSC
mobilní, pohybliví
1507Prahová hodnota 1N / A1024029. července 20159. května 201714. října 2025N / A
1511Prahová hodnota 2Listopadová aktualizace1058610. listopadu 201510. října 201710. dubna 2018N / A9. ledna 2018
1607Redstone 1Aktualizace výročí143932. srpna 201610. dubna 20189. dubna 201913. října 20269. října 2018
1703Redstone 2Aktualizace pro autory150635. dubna 20179. října 20188. října 2019N / A11. června 2019
1709Redstone 3Aktualizace Fall Creators1629917. října 20179. dubna 201913. října 202014. ledna 2020
1803Redstone 4Aktualizace z dubna 20181713430.dubna 201812. listopadu 201911. května 2021N / A
1809Redstone 5Aktualizace z října 20181776313. listopadu 201810. listopadu 20209. ledna 2029
190319H1Aktualizace z května 20191836221. května 20198. prosince 2020N / A
190919H2Aktualizace z listopadu 20191836312. listopadu 201911. května 202110. května 2022
200420H1Aktualizace z května 20201904127. května 202014. prosince 2021
20H220H2Aktualizace z října 20201904220. října 202010. května 20229. května 2023
Vývojový kanál20270N / AVálcování staví ve vývoji
Legenda:    Stará verze    Starší verze, stále udržovaná    Nejnovější verze    Náhled verze

Kromě běžně používaných edic jako Home a Pro nabízí společnost Microsoft specializované verze Windows 10 s „Long-Term Servicing Branch“ (LTSB) nebo „Long-Term Servicing Channel“ (LTSC) s delšími časovými osami podpory, které se řídí „pevnými“ politika životního cyklu “, např „Windows 10 Enterprise 2016 LTSB“ obdrží rozšířenou podporu do 13. října 2026.[19]

Přijetí jinými společnostmi

MÍZA „Den zabezpečení Patch“, kdy společnost radí uživatelům instalovat aktualizace zabezpečení, byl vybrán shodně s Patch Tuesday.[23] Adobe Systems "aktualizační plán pro Flash Player od listopadu 2012 se shoduje také s Patch Tuesday.[24] Jedním z důvodů je to, že Flash Player je součástí systému Windows počínaje Windows 8 a aktualizace Flash Player pro vestavěnou verzi a verzi založenou na zásuvných modulech je nutné publikovat současně, aby se zabránilo hrozbám zpětného inženýrství . Čtvrtletní aktualizace společnosti Oracle se shodují s Patch Tuesday.[25]

Dopad šířky pásma

Windows Update používá Služba inteligentního přenosu na pozadí (BITS) ke stažení aktualizací pomocí nečinné šířky pásma sítě.[26] BITS však použije rychlost uvedenou v síťové rozhraní (NIC) pro výpočet šířky pásma. To může vést k chybám výpočtu šířky pásma, například když je k síti připojen rychlý síťový adaptér (např. 10 Mbit / s) prostřednictvím pomalé linky (např. 56 kbit / s) - podle společnosti Microsoft „BITS budou soutěžit o plnou šířku pásma [NIC] ... BITS nemá viditelnost síťového provozu mimo klienta. “[27]

Servery Windows Update společnosti Microsoft dále nectí TCP je pomalý start strategie řízení přetížení.[28] Ve výsledku mohou ostatní uživatelé ve stejné síti zaznamenat výrazně pomalejší připojení ze strojů aktivně načítajících aktualizace. To může být zvláště patrné v prostředích, kde mnoho počítačů jednotlivě načítá aktualizace prostřednictvím sdíleného odkazu omezeného na šířku pásma, jako jsou ty, které se nacházejí v mnoha domácnostech s více počítači a v malých a středních podnicích. Požadavky na šířku pásma při opravách velkého počtu počítačů lze nasazením výrazně snížit Windows Server Update Services (WSUS) k místní distribuci aktualizací.

Kromě aktualizací stahovaných ze serverů Microsoft mohou zařízení s Windows 10 „sdílet“ aktualizace v a peer-to-peer módní s jinými zařízeními Windows 10 v místní síti, nebo dokonce se zařízeními Windows 10 na internetu. To může potenciálně rychleji distribuovat aktualizace a zároveň snížit využití pro sítě s měřeným připojením.[29][30]

Viz také

Reference

  1. ^ „Srpnové aktualizace pro Windows 8.1 a Windows Server 2012 R2“. Blog Windows Experience. Citováno 25. listopadu 2015.
  2. ^ „Oprava z dubna 2020: Microsoft opravuje tři aktivně využívané chyby zabezpečení“. Pomozte zabezpečení sítě. 2020-04-14. Citováno 2020-10-12.
  3. ^ „Microsoft Patch Tuesday zacílený na Windows, IE“. CNet. 10. října 2011. Citováno 9. listopadu 2011.
  4. ^ „Servisní vydání rozhraní .NET Framework 1.1 v systému Windows Update pro 64bitové systémy“. Microsoft. 28. března 2006. Archivovány od originál 27. března 2012. Citováno 8. listopadu 2011.
  5. ^ „Princip automatické aktualizace systému Windows“. Microsoft - Porozumění systému Windows - Získejte nápovědu. Citováno 3. července 2014.
  6. ^ Budd, Christopher. „Deset let úterý v úterý: Proč je čas jít dál“. GeekWire. Citováno 28. července 2015.
  7. ^ Trent, Rod (2004). Stručný průvodce správcem správy oprav. str. 51. ISBN  9781931491365.
  8. ^ Gregg Keizer (9. června 2011). „Microsoft připravuje opravnou aktualizaci Patch Tuesday, která příští týden opraví 34 nedostatků“. Computerworld. Citováno 25. listopadu 2015.
  9. ^ „Microsoft Ready To Patch 34 Security zranitelnosti“. ITProPortal. Citováno 25. listopadu 2015.
  10. ^ Gregg Keizer. „Microsoft opraví kritickou zranitelnost Windows Serveru“. Techworld. Citováno 25. listopadu 2015.
  11. ^ „Patch Tuesday: WM 6.1 SMTP fix released!“. Blog týmu Microsoft - Outlook Mobile. 11. listopadu 2008. Citováno 9. listopadu 2011.
  12. ^ „Microsoft podrobně popisuje nový plán zabezpečení“. News.cnet.com. Citováno 2013-02-12.
  13. ^ Paul Oliveria (Trend Micro Technical Communications) (4. října 2006). „Patch Tuesday ... Exploit Wednesday“. Blog.trendmicro.com. Citováno 9. února 2016.
  14. ^ „Bomba s Windows 10: Microsoft KILL OFF Patch Tuesday“. theregister.co.uk. Citováno 25. listopadu 2015.
  15. ^ „Exploit Wednesday“. afterdawn.com. Citováno 25. listopadu 2015.
  16. ^ Kurtz, George (14.01.2010). „Operace“ Aurora „Hit Google, others“. mcafee.com. Archivovány od originálu dne 2012-01-17. Citováno 2014-08-12.CS1 maint: BOT: stav původní adresy URL neznámý (odkaz)
  17. ^ Leffall, Jabulani (10.10.2007). „Vedou opravy k zneužití?“. Redmond Magazine. Citováno 2009-02-25.
  18. ^ „Zákaznické pokyny pro útoky WannaCrypt“. MSRC. Citováno 2017-11-23.
  19. ^ A b C d E F G „Informační list o životním cyklu systému Windows“. Microsoft. 2015-08-31. Citováno 2015-08-31.
  20. ^ „Windows 10 v1507 End of Servicing for CB and CBB“. support.microsoft.com. Citováno 2019-08-04.
  21. ^ „Hledat životní cyklus produktu - Windows 10“. support.microsoft.com. Citováno 2019-08-04.
  22. ^ „Nejnovější opravy systému Windows 10 způsobují kritické chyby v nabídce Start“. Windows Call. Citováno 2019-09-18.
  23. ^ von Etizen, Chris (2010-09-15). „SAP představuje patch day“. Zabezpečení H.. Archivovány od originál dne 11. srpna 2011. Citováno 2013-01-07.
  24. ^ McAllister, Neil (08.11.2012). „Adobe přepíná plán oprav Flash na Patch Tuesday“. Registrace. Citováno 2013-01-07.
  25. ^ „Společnost Oracle řeší obrovských 405 chyb za dubnovou čtvrtletní aktualizaci opravy“. threatpost.com. Citováno 2020-10-12.
  26. ^ „About BITS“. MSDN. Microsoft. Citováno 26. března 2016.
  27. ^ Šířka pásma sítě MSDN BITS
  28. ^ Strong, Ben (2010-11-25). „Google a Microsoft podvádějí při pomalém startu“. benstrong.com. Archivovány od originál (blog) 7. prosince 2013.
  29. ^ Warren, Tom (15. března 2015). „Microsoft dodává aktualizace pro Windows 10 pomocí technologie peer-to-peer“. The Verge. Vox Media.
  30. ^ Chacos, Brad (3. srpna 2015). „Jak zastavit Windows 10 v používání šířky pásma vašeho počítače k ​​aktualizaci systémů cizích lidí“. PC svět. IDG.

Další čtení

externí odkazy