周二補丁日
周二補丁日(英語:Patch Tuesday)也稱補丁星期二、星期二更新(Update Tuesday[1])等,它是一個在行業內被廣泛使用的非正式術語,指微軟定期發佈其軟件產品的更新補丁[2][3][4]。微軟於2003年10月正式開始了此模式[5]。
周二補丁日發生在每個月第二周(有時是第四周)的周二,於UTC時間18:00或17:00開始,經由Windows Update推送給用戶。同時,補丁會被發布至微軟網站上,微軟知識庫和Technet公告也會隨之更新。
微軟有一種習慣,會在偶數月份發布更多的更新,相應奇數月份的更新會更少。[6][7][8]少數更新也會在周二補丁日之外被發布。某些更新,例如Microsoft Defender的病毒庫更新則會每天發布。有時候,在一次常規的周二補丁日之後會有一次額外的周二補丁日。另外一些更新則可能隨時會被發布。[9]
歷史
從Windows 98開始,微軟集成了 Windows Update,它將檢查微軟不定期發布的 Windows 的補丁。除此之外,它還會檢查其他微軟產品的補丁,如Microsoft Office、Visual Studio和SQL Server等。
早期版本的Windows Update存在兩個問題:
1.經驗不足的用戶通常不會意識到Windows Update並且沒有安裝它。 微軟在Windows ME中使用自動更新組件解決了此問題,該組件顯示了更新的可用性,並提供了自動安裝選項。
2.擁有多個Windows副本的客戶(例如企業用戶)不僅必須更新公司中的每個Windows部署,還要卸載微軟發布的破壞現有功能的補丁。
微軟於2003年10月推出了「補丁星期二」,以降低分發補丁的成本[10]。該系統每月發布累積安全補丁,並在每個月的第二個星期二推送所有補丁,這是為了系統管理員準備的事件。 第二天,被非正式地稱為「漏洞星期三」,[11]標誌着屆時漏洞將可能大量利用未安裝安全補丁的電腦。
周二被選為分發軟件補丁的最佳日期。 這樣做是為了最大限度地延長即將到來的周末之前的可用時間,以糾正這些補丁可能出現的任何問題,同時騰出周一解決上周末可能出現的其他意外問題。
安全影響
一個明顯的安全隱患是,有一個解決方案的安全問題被公眾拒絕長達一個月。當漏洞未廣為人知或輕微時,此政策就足夠了,但情況並非總是如此。有些情況下,漏洞信息已泄露或實際蠕蟲在下一個計劃的補丁星期二之前流行。在關鍵情況下,微軟會在準備好時發布相應的修補程序,以便在檢查並經常安裝更新時降低風險。
在「點亮 2015」活動中,微軟公布了分發安全補丁的變化。他們準備好後立即發布家用電腦,平板電腦和手機的安全更新,而企業客戶將保持每月更新周期,並將其更新為Windows Update for Business[12]。
周三漏洞利用事件
補丁發布後不久就會出現許多漏洞利用事件[13] ,對補丁的分析有助於利用開發人員立即利用之前未公開的漏洞,該漏洞將保留在未修補的系統中。[14]因此,「利用星期三」這個詞被創造出來。[15]
微軟已停止技術支持的Windows版本
微軟警告用戶,自2014年4月8日起停止對Windows XP的支持 - 之後運行Windows XP的用戶將面臨被黑客攻擊的風險。由於較新的Windows版本的安全補丁可以揭示新版本和舊版本中存在的類似(或相同)漏洞,因此可以允許攻擊具有不受支持的Windows版本的設備(例如「零日攻擊」)。然而,微軟已停止在不受支持的Windows版本中修復此類(和其他)漏洞,無論這些漏洞的廣泛傳播如何,這些漏洞都不固定,運行這些Windows版本的設備容易受到攻擊。微軟在WannaCry勒索軟件迅速傳播期間做了唯一的一次例外,於2017年5月發布了針對當時不支持的Windows XP,Windows 8和Windows Server 2003(除了當時支持的Windows版本)之外的補丁。[16]
對於Windows Vista,「擴展支持」已於2017年4月11日結束,這將使之後發現的漏洞保持不固定,從而為Vista創建與之前相同的情況。[17]
對於Windows 7(帶有Service Pack 1),支持將於2020年1月14日[18]和2023年1月10日結束,對於Windows 8.1, 這將導致這些操作系統的用戶出現相同的「未修復的漏洞」問題。對Windows 8的支持已於2016年1月12日結束(用戶必須安裝Windows 8.1或Windows 10以繼續獲得支持),並且對不帶SP1的Windows 7的支持已於2013年4月9日結束(能夠安裝SP1以繼續獲得支持直到2020年,或者必須安裝Windows 8.1或Windows 10才能在2020年之後獲得支持。)
Windows 10/11
隨着Windows 10的推出,一個重大變化是微軟開始每年兩次發布新版本的Windows 10(Windows 11發佈後改為每年1次),並且隨着微軟的「現代系統生命周期政策」,新發布的Windows 10版本開始了以前版本的「寬限期」。 關於支持 - 不同於以前只通過Service Pack接收不頻繁更新的Windows產品,並且支持受「固定生命周期策略」的約束。有了這個新政策,Windows 10的家庭版和專業版將在發布後的18個月內提供安全更新和功能更新(所謂的「主流支持」)企業版和教育版將在發布後的24個月內提供安全和功能更新。[17]
舉個例子:微軟將於2018年10月停止支持Windows 10 家庭版 / 專業版1703(2017年4月發布),對版本1507和1511(2015年發布)的支持將於2017年正式結束[19]。微軟宣布,它將為至少一個「半年度頻道」(SAC)Windows 10版本提供「擴展支持」(只提供安全更新但不提供功能更新),直到2025年10月14日結束。[20]
根據微軟的說法,「設備需要在[當前版本]到達服務終結之前安裝最新版本(功能更新),以幫助保持您的設備安全,並保持微軟的支持"。[17]與以前的Windows操作系統一樣,運行此類不受支持的Windows版本(不再接收安全補丁)的任何設備都可能受到「支持終止」日期開始的「未修復漏洞」問題的影響。為了解決這個問題,微軟已經為Windows 10/11的家庭版和專業版設計了更新系統,因此在大多數情況下,如果技術上可行的話,最新的Windows版本會自動下載和安裝 - 但是由於強制升級等其他問題受到了批評。
其他公司採用的補丁
當公司建議用戶安裝安全更新時,SAP公司的「安全補丁日」被選中與補丁星期二一致。[21]自2012年11月起,Adobe Systems的Flash Player更新時間表也與補丁星期二相吻合。[22] 其中一個原因是Flash Player作為Windows的一部分從Windows 8開始,內置的Flash Player更新和基於插件的版本都需要同時發布,以防止逆向工程威脅。
例外
- 每天更新:Microsoft Defender的更新。
- 一般緊急補丁:在定期補丁後14天釋出。
- 非常緊急補丁:不定期釋出。
參考資料
- ^ August updates for Windows 8.1 and Windows Server 2012 R2. Windows Experience Blog. [25 November 2015]. (原始內容存檔於2015-09-06).
- ^ Microsoft Patch Tuesday to target Windows, IE. CNet. October 10, 2011 [November 9, 2011]. (原始內容存檔於2012-11-04).
- ^ .NET Framework 1.1 Servicing Releases on Windows Update for 64-bit Systems. Microsoft. March 28, 2006 [November 8, 2011]. (原始內容存檔於2012年3月27日).
- ^ Understanding Windows automatic updating. Microsoft — Understanding Windows — Get Help. [July 3, 2014]. (原始內容存檔於2016-06-22).
- ^ Budd, Christopher. Ten Years of Patch Tuesdays: Why It’s Time to Move On. GeekWire. [28 July 2015]. (原始內容存檔於2021-09-25).
- ^ Gregg Keizer. Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week. Computerworld. 9 June 2011 [25 November 2015]. (原始內容存檔於2014-04-20).
- ^ Microsoft Ready To Patch 34 Security Vulnerabilities. ITProPortal. [25 November 2015]. (原始內容存檔於2021-09-25).
- ^ Gregg Keizer. Microsoft to patch critical Windows Server vulnerability. Techworld. [25 November 2015]. (原始內容存檔於2011-06-24).
- ^ Patch Tuesday: WM 6.1 SMTP fix released!. Microsoft — Outlook Mobile Team Blog. November 11, 2008 [November 9, 2011]. (原始內容存檔於2012-07-08).
- ^ Microsoft details new security plan. 2003-10-09. (原始內容存檔於2020-10-27) (英語).
- ^ Patch Tuesday… Exploit Wednesday. 2006-10-04. (原始內容存檔於2021-01-27) (英語).
- ^ Windows 10 bombshell: Microsoft to KILL OFF Patch Tuesday. 2015-05-04. (原始內容存檔於2020-04-12) (英語).
- ^ Exploit Wednesday. 2019-07-30. (原始內容存檔於2021-01-09) (英語).
- ^ George Kurtz. Operation “Aurora” Hit Google, Others. 2010-01-14. 原始內容存檔於2012-01-17 (英語).
- ^ Are Patches Leading to Exploits?. (原始內容存檔於2020-09-26) (英語).
- ^ Customer Guidance for WannaCrypt attacks. 2017-05-12. (原始內容存檔於2019-05-24) (英語).
- ^ 17.0 17.1 17.2 Windows lifecycle fact sheet. (原始內容存檔於2017-04-24) (英語).
- ^ Windows lifecycle fact sheet. (原始內容存檔於2017-04-24).
- ^ Windows 10 v1507 End of Servicing for CB and CBB. Microsoft. 2018-07-21. (原始內容存檔於2019-11-08) (英語).
- ^ product lifecycle. (原始內容存檔於2019-01-09) (英語).
- ^ SAP introduces a patch day. 2010-09-15. 原始內容存檔於2011-08-11 (英語).
- ^ Adobe switches Flash fix schedule to Patch Tuesdays. 2012-11-08. (原始內容存檔於2019-08-02) (英語).