周二補丁日

起源于微软,每月第二周的星期二向终端用户推送微软产品安全补丁更新的非官方称呼。

周二補丁日(英語:Patch Tuesday)也稱補丁星期二星期二更新Update Tuesday[1])等,它是一個在行業內被廣泛使用的非正式術語,指微軟定期發佈其軟件產品的更新補丁[2][3][4]。微軟於2003年10月正式開始了此模式[5]

周二補丁日發生在每個月第二周(有時是第四周)的周二,於UTC時間18:00或17:00開始,經由Windows Update推送給用戶。同時,補丁會被發布至微軟網站上,微軟知識庫和Technet公告也會隨之更新。

微軟有一種習慣,會在偶數月份發布更多的更新,相應奇數月份的更新會更少。[6][7][8]少數更新也會在周二補丁日之外被發布。某些更新,例如Microsoft Defender的病毒庫更新則會每天發布。有時候,在一次常規的周二補丁日之後會有一次額外的周二補丁日。另外一些更新則可能隨時會被發布。[9]

歷史

Windows 98開始,微軟集成了 Windows Update,它將檢查微軟不定期發布的 Windows 的補丁。除此之外,它還會檢查其他微軟產品的補丁,如Microsoft OfficeVisual StudioSQL Server等。

早期版本的Windows Update存在兩個問題:

    1.經驗不足的用戶通常不會意識到Windows Update並且沒有安裝它。 微軟在Windows ME中使用自動更新組件解決了此問題,該組件顯示了更新的可用性,並提供了自動安裝選項。

    2.擁有多個Windows副本的客戶(例如企業用戶)不僅必須更新公司中的每個Windows部署,還要卸載微軟發布的破壞現有功能的補丁。

微軟於2003年10月推出了「補丁星期二」,以降低分發補丁的成本[10]。該系統每月發布累積安全補丁,並在每個月的第二個星期二推送所有補丁,這是為了系統管理員準備的事件。 第二天,被非正式地稱為「漏洞星期三」,[11]標誌着屆時漏洞將可能大量利用未安裝安全補丁的電腦。

周二被選為分發軟件補丁的最佳日期。 這樣做是為了最大限度地延長即將到來的周末之前的可用時間,以糾正這些補丁可能出現的任何問題,同時騰出周一解決上周末可能出現的其他意外問題。

安全影響

一個明顯的安全隱患是,有一個解決方案的安全問題被公眾拒絕長達一個月。當漏洞未廣為人知或輕微時,此政策就足夠了,但情況並非總是如此。有些情況下,漏洞信息已泄露或實際蠕蟲在下一個計劃的補丁星期二之前流行。在關鍵情況下,微軟會在準備好時發布相應的修補程序,以便在檢查並經常安裝更新時降低風險。

在「點亮 2015」活動中,微軟公布了分發安全補丁的變化。他們準備好後立即發布家用電腦,平板電腦和手機的安全更新,而企業客戶將保持每月更新周期,並將其更新為Windows Update for Business[12]

周三漏洞利用事件

補丁發布後不久就會出現許多漏洞利用事件[13] ,對補丁的分析有助於利用開發人員立即利用之前未公開的漏洞,該漏洞將保留在未修補的系統中。[14]因此,「利用星期三」這個詞被創造出來。[15]

微軟已停止技術支持的Windows版本

微軟警告用戶,自2014年4月8日起停止對Windows XP的支持 - 之後運行Windows XP的用戶將面臨被黑客攻擊的風險。由於較新的Windows版本的安全補丁可以揭示新版本和舊版本中存在的類似(或相同)漏洞,因此可以允許攻擊具有不受支持的Windows版本的設備(例如「零日攻擊」)。然而,微軟已停止在不受支持的Windows版本中修復此類(和其他)漏洞,無論這些漏洞的廣泛傳播如何,這些漏洞都不固定,運行這些Windows版本的設備容易受到攻擊。微軟在WannaCry勒索軟件迅速傳播期間做了唯一的一次例外,於2017年5月發布了針對當時不支持的Windows XP,Windows 8和Windows Server 2003(除了當時支持的Windows版本)之外的補丁。[16]

對於Windows Vista,「擴展支持」已於2017年4月11日結束,這將使之後發現的漏洞保持不固定,從而為Vista創建與之前相同的情況。[17]

對於Windows 7(帶有Service Pack 1),支持將於2020年1月14日[18]和2023年1月10日結束,對於Windows 8.1, 這將導致這些操作系統的用戶出現相同的「未修復的漏洞」問題。對Windows 8的支持已於2016年1月12日結束(用戶必須安裝Windows 8.1或Windows 10以繼續獲得支持),並且對不帶SP1的Windows 7的支持已於2013年4月9日結束(能夠安裝SP1以繼續獲得支持直到2020年,或者必須安裝Windows 8.1或Windows 10才能在2020年之後獲得支持。)

Windows 10/11

隨着Windows 10的推出,一個重大變化是微軟開始每年兩次發布新版本的Windows 10(Windows 11發佈後改為每年1次),並且隨着微軟的「現代系統生命周期政策」,新發布的Windows 10版本開始了以前版本的「寬限期」。 關於支持 - 不同於以前只通過Service Pack接收不頻繁更新的Windows產品,並且支持受「固定生命周期策略」的約束。有了這個新政策,Windows 10的家庭版和專業版將在發布後的18個月內提供安全更新和功能更新(所謂的「主流支持」)企業版和教育版將在發布後的24個月內提供安全和功能更新。[17]

舉個例子:微軟將於2018年10月停止支持Windows 10 家庭版 / 專業版1703(2017年4月發布),對版本1507和1511(2015年發布)的支持將於2017年正式結束[19]。微軟宣布,它將為至少一個「半年度頻道」(SAC)Windows 10版本提供「擴展支持」(只提供安全更新但不提供功能更新),直到2025年10月14日結束。[20]

根據微軟的說法,「設備需要在[當前版本]到達服務終結之前安裝最新版本(功能更新),以幫助保持您的設備安全,並保持微軟的支持"。[17]與以前的Windows操作系統一樣,運行此類不受支持的Windows版本(不再接收安全補丁)的任何設備都可能受到「支持終止」日期開始的「未修復漏洞」問題的影響。為了解決這個問題,微軟已經為Windows 10/11的家庭版和專業版設計了更新系統,因此在大多數情況下,如果技術上可行的話,最新的Windows版本會自動下載和安裝 - 但是由於強制升級等其他問題受到了批評。

其他公司採用的補丁

當公司建議用戶安裝安全更新時,SAP公司的「安全補丁日」被選中與補丁星期二一致。[21]自2012年11月起,Adobe SystemsFlash Player更新時間表也與補丁星期二相吻合。[22] 其中一個原因是Flash Player作為Windows的一部分從Windows 8開始,內置的Flash Player更新和基於插件的版本都需要同時發布,以防止逆向工程威脅。

例外

  • 每天更新:Microsoft Defender的更新。
  • 一般緊急補丁:在定期補丁後14天釋出。
  • 非常緊急補丁:不定期釋出。

參考資料

  1. ^ August updates for Windows 8.1 and Windows Server 2012 R2. Windows Experience Blog. [25 November 2015]. (原始內容存檔於2015-09-06). 
  2. ^ Microsoft Patch Tuesday to target Windows, IE. CNet. October 10, 2011 [November 9, 2011]. (原始內容存檔於2012-11-04). 
  3. ^ .NET Framework 1.1 Servicing Releases on Windows Update for 64-bit Systems. Microsoft. March 28, 2006 [November 8, 2011]. (原始內容存檔於2012年3月27日). 
  4. ^ Understanding Windows automatic updating. Microsoft — Understanding Windows — Get Help. [July 3, 2014]. (原始內容存檔於2016-06-22). 
  5. ^ Budd, Christopher. Ten Years of Patch Tuesdays: Why It’s Time to Move On. GeekWire. [28 July 2015]. (原始內容存檔於2021-09-25). 
  6. ^ Gregg Keizer. Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week. Computerworld. 9 June 2011 [25 November 2015]. (原始內容存檔於2014-04-20). 
  7. ^ Microsoft Ready To Patch 34 Security Vulnerabilities. ITProPortal. [25 November 2015]. (原始內容存檔於2021-09-25). 
  8. ^ Gregg Keizer. Microsoft to patch critical Windows Server vulnerability. Techworld. [25 November 2015]. (原始內容存檔於2011-06-24). 
  9. ^ Patch Tuesday: WM 6.1 SMTP fix released!. Microsoft — Outlook Mobile Team Blog. November 11, 2008 [November 9, 2011]. (原始內容存檔於2012-07-08). 
  10. ^ Microsoft details new security plan. 2003-10-09. (原始內容存檔於2020-10-27) (英語). 
  11. ^ Patch Tuesday… Exploit Wednesday. 2006-10-04. (原始內容存檔於2021-01-27) (英語). 
  12. ^ Windows 10 bombshell: Microsoft to KILL OFF Patch Tuesday. 2015-05-04. (原始內容存檔於2020-04-12) (英語). 
  13. ^ Exploit Wednesday. 2019-07-30. (原始內容存檔於2021-01-09) (英語). 
  14. ^ George Kurtz. Operation “Aurora” Hit Google, Others. 2010-01-14. 原始內容存檔於2012-01-17 (英語). 
  15. ^ Are Patches Leading to Exploits?. (原始內容存檔於2020-09-26) (英語). 
  16. ^ Customer Guidance for WannaCrypt attacks. 2017-05-12. (原始內容存檔於2019-05-24) (英語). 
  17. ^ 17.0 17.1 17.2 Windows lifecycle fact sheet. (原始內容存檔於2017-04-24) (英語). 
  18. ^ Windows lifecycle fact sheet. (原始內容存檔於2017-04-24). 
  19. ^ Windows 10 v1507 End of Servicing for CB and CBB. Microsoft. 2018-07-21. (原始內容存檔於2019-11-08) (英語). 
  20. ^ product lifecycle. (原始內容存檔於2019-01-09) (英語). 
  21. ^ SAP introduces a patch day. 2010-09-15. 原始內容存檔於2011-08-11 (英語). 
  22. ^ Adobe switches Flash fix schedule to Patch Tuesdays. 2012-11-08. (原始內容存檔於2019-08-02) (英語).