Patch Tuesday

A Patch Tuesday vagy Update Tuesday^[1] (magyarul kb. frissítőkedd, hibajavító kedd vagy Patch Kedd) minden hónap második keddje (általában magyar idő szerint kedd este, 17:00 UTC), amikor a Microsoft megjelenteti az új biztonsági frissítéseket.^[2]

A Microsoft a Windows 98-cal kezdve vezette be a „Windows Update” rendszert, amivel az időközönként megjelenő patcheket lehetett letölteni a Windowshoz és annak komponenseihez. A Microsoft Update megjelenésével már lehetővé vált más Microsoft-termékek, köztük az Office, a Visual Studio, az SQL Server, a Windows Defender frissítéseinek vizsgálata és letöltése.

A Microsoftnak egy időben szokása volt, hogy az év páratlan hónapjaiban kevesebb, a páros hónapokban több frissítést jelentet meg.^[3][4][5]

Néha két frissítőkedd közé beiktatnak egy rendkívüli frissítőkeddet, 14 nappal a szokásos esemény után. Vannak olyan termékek, aminek a frissítései naponta érkeznek (a Windows Defender és a Microsoft Security Essentials definíciófrissítései) vagy a szokásostól teljesen eltérő időpontokban.

A 2015-ös Microsoft Ignite konferencián bejelentették, hogy változni fog a biztonsági és egyéb javítások terjesztésének menete: az otthoni PC-kre, tabletekre, telefonokra 24 órában, a hét minden napján érkeznek az új frissítések; a nagyvállalati Windows 10-ek továbbra is havi frissítési ciklusban maradnak majd, amit Windows Update for Business néven terveznek újra.^[6]

A Microsoft megközelítése

A javítások telepítésének költségei

A Windows Update-rendszernek két problémája volt, melyek a felhasználók táborának két ellentétes pólusát érintették. Az első az volt, hogy a kevésbé hozzáértő felhasználók nem ismerték a Windows Update-et, és ezért nem futtatták azt. A Microsoft megoldása erre az „Automatikus frissítések” (Automatic Update) bevezetése volt, ami a felhasználót értesítette az ő rendszerét érintő új javítások megjelenéséről.

A második probléma nagyvállalati szinten jelentkezett. Ezeknél a cégeknél, ahol több száz vagy több ezer Windowst használnak, egyre nehezebb volt meggyőződni arról, hogy a vállalat minden gépe naprakész a frissítésekkel. A problémát súlyosbította, hogy egyszer-egyszer a javítócsomagok megváltoztatták a szoftver megszokott működését, és el kellett őket távolítani.

A patchek telepítése költségeinek csökkentése céljából a Microsoft 2003 októberében bevezette a Patch Tuesday fogalmát.^[7] Ennek lényege az, hogy a biztonsági javításokat egy hónapon keresztül hagyják gyűlni, majd abban az időpontban „szabadítják rá” a rendszerekre, amikor erre a rendszergazdák számítanak. Ezt az időpontot úgy választották meg, hogy ne legyen túl közel a hét elejéhez, de a hétvégétől kellően távol legyen, hogy a patchekkel kapcsolatos problémákat még a hétvége előtt meg lehessen oldani. Maga a „Patch Tuesday” név használata csak 2004 harmadik negyedévétől terjedt el. Egyes iparági elemzők a rákövetkező napot „Exploit Wednesday”-nek, vagy akár a támadás napjának/Day Zero-nak nevezik, amikor a hackerek támadást indíthatnak az újonnan bejelentett sérülékenységek kihasználására.

Vállalati környezetben a javításokat gyakran nem gépenként töltik le a Microsoft oldaláról, hanem közbeiktatnak valamilyen szerveroldali megoldást a javítások engedélyezésére, elosztására. Ilyen az ingyenes Windows Server Update Services (WSUS), vagy a nagyobb tudású System Center Configuration Manager (korábban SMS vagy Systems Management Server).

Hatása az internetre

A Patch Tuesday biztonsági következményei

A legnyilvánvalóbb biztonsági következmény, hogy olyan biztonsági problémák megoldására, amikre már kidolgozták a javítást, akár egy hónapot is várni kell. Ez a megoldás megfelelő lehet, ha a sebezhetőség nem ismert széles körben, vagy kevés ügyfelet érint, de nem mindig ez a helyzet.

A múltban előfordult néhányszor, hogy a sebezhetőségről kitudódtak az információk a szokásos keddi javítás megérkezése előtt, vagy akár a sebezhetőséget kiaknázó malware-ek is megjelentek. Ilyenkor a Microsoft néha soron kívül (out-of-band) is kibocsát javításokat.

Exploit Wednesday

Sok esetben a patch megjelenését követően nagyon hamar megjelennek az adott sebezhetőséget kihasználó, rosszindulatú programok. A patch analizálásával ugyanis a férgek írói könnyebben rájöhetnek, hogy lehet kiaknázni az adott sebezhetőséget,^[8] a még patcheletlen számítógépeken. Innen jön az „Exploit Wednesday” elnevezés.^[9]

A rosszindulatú kódok írói arra is rájöttek, hogy ha éppen a hónap második keddjén kezdik terjeszteni az új, foltozatlan sebezhetőséget kiaknázó malware-t,^[10] a lehető legtöbb idejük marad a terjedésre, mielőtt a Microsoft következő frissítési ciklusában kijavítanák a hibát.

A Windows XP esete

A Microsoft figyelmezteti a felhasználókat, hogy 2014. április 8. után, ahogy a Windows XP támogatási időszaka lejár, a Windows XP-t futtató rendszerek örökre védtelenek lesznek a nulladik napi támadásokkal szemben, hiszen az újabb Windowsokhoz készített javítások visszafejtésével a férgek írói a Windows XP-n működő, támadó kódot írhatnak, és ezek a biztonsági rések sohasem kerülnek majd befoltozásra.^[11][12][13]

Egyéb következmények

A Microsoft letöltési szerverei nem tartják tiszteletben a TCP lassú kezdés torlódásvédelmi stratégiáit.^[14] Ennek következményeként az internetet jelentősen lelassíthatják a frissítéseket éppen letöltő számítógépek; ez különösen ott érzékelhető, ahol egyetlen, korlátozott sávszélességű kapcsolaton sok windowsos számítógép frissíti magát, például kisvállalkozásoknál. A frissítés sávszélességigénye csökkenthető, ha a vállalat számítógépeit menedzselt módon, például a Windows Server Update Services segítségével frissítik.

A Patch Tuesday-t követően számítógépek milliói indulnak újra viszonylag rövid idő alatt. Ez megnöveli az internet szervereire nehezedő terhelést, ahogy a különböző kliensszoftverek ki- és újra bejelentkeznek.

2007 augusztusában például a Skype két napig nem működött a Patch Tuesday-t követően; a Skype szerint ezt a szervereik egy korábban nem ismert szoftverhibája okozta, amit az abnormálisan sok újrainduló gép hozott napvilágra.^[15]

Kapcsolódó események

App Tuesday

A Google 2010 júniusától a Microsoft frissítőkeddjét rendszeresen meglovagolva, minden hónap második keddjén a havi rendszeres tevékenységgel járó frissítések helyett saját webalkalmazásait, a Google Apps Marketplace-et ajánlja.^[16]

Adobe

Az Adobe cég 2012 novemberétől összehangolja frissítési ciklusát a Microsofttal, azzal összefüggésben, hogy a Windows 8-cal debütált Internet Explorer 10-be beleintegrálták a Adobe Flash plugint.^[17]

Fordítás

• Ez a szócikk részben vagy egészben a Patch Tuesday című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.