周二补丁日

起源于微软,每月第二周的星期二向终端用户推送微软产品安全补丁更新的非官方称呼。

周二补丁日(英语:Patch Tuesday)也称补丁星期二星期二更新Update Tuesday[1])等,它是一个在行业内被广泛使用的非正式术语,指微软定期发布其软件产品的更新补丁[2][3][4]。微软于2003年10月正式开始了此模式[5]

周二补丁日发生在每个月第二周(有时是第四周)的周二,于UTC时间18:00或17:00开始,经由Windows Update推送给用户。同时,补丁会被发布至微软网站上,微软知识库和Technet公告也会随之更新。

微软有一种习惯,会在偶数月份发布更多的更新,相应奇数月份的更新会更少。[6][7][8]少数更新也会在周二补丁日之外被发布。某些更新,例如Microsoft Defender的病毒库更新则会每天发布。有时候,在一次常规的周二补丁日之后会有一次额外的周二补丁日。另外一些更新则可能随时会被发布。[9]

历史

Windows 98开始,微软集成了 Windows Update,它将检查微软不定期发布的 Windows 的补丁。除此之外,它还会检查其他微软产品的补丁,如Microsoft OfficeVisual StudioSQL Server等。

早期版本的Windows Update存在两个问题:

    1.经验不足的用户通常不会意识到Windows Update并且没有安装它。 微软在Windows ME中使用自动更新组件解决了此问题,该组件显示了更新的可用性,并提供了自动安装选项。

    2.拥有多个Windows副本的客户(例如企业用户)不仅必须更新公司中的每个Windows部署,还要卸载微软发布的破坏现有功能的补丁。

微软于2003年10月推出了“补丁星期二”,以降低分发补丁的成本[10]。该系统每月发布累积安全补丁,并在每个月的第二个星期二推送所有补丁,这是为了系统管理员准备的事件。 第二天,被非正式地称为“漏洞星期三”,[11]标志着届时漏洞将可能大量利用未安装安全补丁的电脑。

周二被选为分发软件补丁的最佳日期。 这样做是为了最大限度地延长即将到来的周末之前的可用时间,以纠正这些补丁可能出现的任何问题,同时腾出周一解决上周末可能出现的其他意外问题。

安全影响

一个明显的安全隐患是,有一个解决方案的安全问题被公众拒绝长达一个月。当漏洞未广为人知或轻微时,此政策就足够了,但情况并非总是如此。有些情况下,漏洞信息已泄露或实际蠕虫在下一个计划的补丁星期二之前流行。在关键情况下,微软会在准备好时发布相应的修补程序,以便在检查并经常安装更新时降低风险。

在“点亮 2015”活动中,微软公布了分发安全补丁的变化。他们准备好后立即发布家用电脑,平板电脑和手机的安全更新,而企业客户将保持每月更新周期,并将其更新为Windows Update for Business[12]

周三漏洞利用事件

补丁发布后不久就会出现许多漏洞利用事件[13] ,对补丁的分析有助于利用开发人员立即利用之前未公开的漏洞,该漏洞将保留在未修补的系统中。[14]因此,“利用星期三”这个词被创造出来。[15]

微软已停止技术支持的Windows版本

微软警告用户,自2014年4月8日起停止对Windows XP的支持 - 之后运行Windows XP的用户将面临被黑客攻击的风险。由于较新的Windows版本的安全补丁可以揭示新版本和旧版本中存在的类似(或相同)漏洞,因此可以允许攻击具有不受支持的Windows版本的设备(例如“零日攻击”)。然而,微软已停止在不受支持的Windows版本中修复此类(和其他)漏洞,无论这些漏洞的广泛传播如何,这些漏洞都不固定,运行这些Windows版本的设备容易受到攻击。微软在WannaCry勒索软件迅速传播期间做了唯一的一次例外,于2017年5月发布了针对当时不支持的Windows XP,Windows 8和Windows Server 2003(除了当时支持的Windows版本)之外的补丁。[16]

对于Windows Vista,“扩展支持”已于2017年4月11日结束,这将使之后发现的漏洞保持不固定,从而为Vista创建与之前相同的情况。[17]

对于Windows 7(带有Service Pack 1),支持将于2020年1月14日[18]和2023年1月10日结束,对于Windows 8.1, 这将导致这些操作系统的用户出现相同的“未修复的漏洞”问题。对Windows 8的支持已于2016年1月12日结束(用户必须安装Windows 8.1或Windows 10以继续获得支持),并且对不带SP1的Windows 7的支持已于2013年4月9日结束(能够安装SP1以继续获得支持直到2020年,或者必须安装Windows 8.1或Windows 10才能在2020年之后获得支持。)

Windows 10/11

随着Windows 10的推出,一个重大变化是微软开始每年两次发布新版本的Windows 10(Windows 11发布后改为每年1次),并且随着微软的“现代系统生命周期政策”,新发布的Windows 10版本开始了以前版本的“宽限期”。 关于支持 - 不同于以前只通过Service Pack接收不频繁更新的Windows产品,并且支持受“固定生命周期策略”的约束。有了这个新政策,Windows 10的家庭版和专业版将在发布后的18个月内提供安全更新和功能更新(所谓的“主流支持”)企业版和教育版将在发布后的24个月内提供安全和功能更新。[17]

举个例子:微软将于2018年10月停止支持Windows 10 家庭版 / 专业版1703(2017年4月发布),对版本1507和1511(2015年发布)的支持将于2017年正式结束[19]。微软宣布,它将为至少一个“半年度频道”(SAC)Windows 10版本提供“扩展支持”(只提供安全更新但不提供功能更新),直到2025年10月14日结束。[20]

根据微软的说法,“设备需要在[当前版本]到达服务终结之前安装最新版本(功能更新),以帮助保持您的设备安全,并保持微软的支持"。[17]与以前的Windows操作系统一样,运行此类不受支持的Windows版本(不再接收安全补丁)的任何设备都可能受到“支持终止”日期开始的“未修复漏洞”问题的影响。为了解决这个问题,微软已经为Windows 10/11的家庭版和专业版设计了更新系统,因此在大多数情况下,如果技术上可行的话,最新的Windows版本会自动下载和安装 - 但是由于强制升级等其他问题受到了批评。

其他公司采用的补丁

当公司建议用户安装安全更新时,SAP公司的“安全补丁日”被选中与补丁星期二一致。[21]自2012年11月起,Adobe SystemsFlash Player更新时间表也与补丁星期二相吻合。[22] 其中一个原因是Flash Player作为Windows的一部分从Windows 8开始,内置的Flash Player更新和基于插件的版本都需要同时发布,以防止逆向工程威胁。

例外

  • 每天更新:Microsoft Defender的更新。
  • 一般紧急补丁:在定期补丁后14天释出。
  • 非常紧急补丁:不定期释出。

参考资料

  1. ^ August updates for Windows 8.1 and Windows Server 2012 R2. Windows Experience Blog. [25 November 2015]. (原始内容存档于2015-09-06). 
  2. ^ Microsoft Patch Tuesday to target Windows, IE. CNet. October 10, 2011 [November 9, 2011]. (原始内容存档于2012-11-04). 
  3. ^ .NET Framework 1.1 Servicing Releases on Windows Update for 64-bit Systems. Microsoft. March 28, 2006 [November 8, 2011]. (原始内容存档于2012年3月27日). 
  4. ^ Understanding Windows automatic updating. Microsoft — Understanding Windows — Get Help. [July 3, 2014]. (原始内容存档于2016-06-22). 
  5. ^ Budd, Christopher. Ten Years of Patch Tuesdays: Why It’s Time to Move On. GeekWire. [28 July 2015]. (原始内容存档于2021-09-25). 
  6. ^ Gregg Keizer. Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week. Computerworld. 9 June 2011 [25 November 2015]. (原始内容存档于2014-04-20). 
  7. ^ Microsoft Ready To Patch 34 Security Vulnerabilities. ITProPortal. [25 November 2015]. (原始内容存档于2021-09-25). 
  8. ^ Gregg Keizer. Microsoft to patch critical Windows Server vulnerability. Techworld. [25 November 2015]. (原始内容存档于2011-06-24). 
  9. ^ Patch Tuesday: WM 6.1 SMTP fix released!. Microsoft — Outlook Mobile Team Blog. November 11, 2008 [November 9, 2011]. (原始内容存档于2012-07-08). 
  10. ^ Microsoft details new security plan. 2003-10-09. (原始内容存档于2020-10-27) (英语). 
  11. ^ Patch Tuesday… Exploit Wednesday. 2006-10-04. (原始内容存档于2021-01-27) (英语). 
  12. ^ Windows 10 bombshell: Microsoft to KILL OFF Patch Tuesday. 2015-05-04. (原始内容存档于2020-04-12) (英语). 
  13. ^ Exploit Wednesday. 2019-07-30. (原始内容存档于2021-01-09) (英语). 
  14. ^ George Kurtz. Operation “Aurora” Hit Google, Others. 2010-01-14. 原始内容存档于2012-01-17 (英语). 
  15. ^ Are Patches Leading to Exploits?. (原始内容存档于2020-09-26) (英语). 
  16. ^ Customer Guidance for WannaCrypt attacks. 2017-05-12. (原始内容存档于2019-05-24) (英语). 
  17. ^ 17.0 17.1 17.2 Windows lifecycle fact sheet. (原始内容存档于2017-04-24) (英语). 
  18. ^ Windows lifecycle fact sheet. (原始内容存档于2017-04-24). 
  19. ^ Windows 10 v1507 End of Servicing for CB and CBB. Microsoft. 2018-07-21. (原始内容存档于2019-11-08) (英语). 
  20. ^ product lifecycle. (原始内容存档于2019-01-09) (英语). 
  21. ^ SAP introduces a patch day. 2010-09-15. 原始内容存档于2011-08-11 (英语). 
  22. ^ Adobe switches Flash fix schedule to Patch Tuesdays. 2012-11-08. (原始内容存档于2019-08-02) (英语).