周二修補程式日

起源于微软,每月第二周的星期二向终端用户推送微软产品安全补丁更新的非官方称呼。

周二修補程式日(英語:Patch Tuesday)也稱修補程式星期二星期二更新Update Tuesday[1])等,它是一個在行業內被廣泛使用的非正式術語,指微軟定期發佈其軟件產品的更新修補程式[2][3][4]。微軟於2003年10月正式開始了此模式[5]

周二修補程式日發生在每個月第二周(有時是第四周)的周二,於UTC時間18:00或17:00開始,經由Windows Update推播給使用者。同時,修補程式會被發佈至微軟網站上,微軟知識媒體櫃和Technet公告也會隨之更新。

微軟有一種習慣,會在偶數月份發佈更多的更新,相應奇數月份的更新會更少。[6][7][8]少數更新也會在周二修補程式日之外被發佈。某些更新,例如Microsoft Defender的病毒媒體櫃更新則會每天發佈。有時候,在一次常規的周二修補程式日之後會有一次額外的周二修補程式日。另外一些更新則可能隨時會被發佈。[9]

歷史

Windows 98開始,微軟整合了 Windows Update,它將檢查微軟不定期發佈的 Windows 的修補程式。除此之外,它還會檢查其他微軟產品的修補程式,如Microsoft OfficeVisual StudioSQL Server等。

早期版本的Windows Update存在兩個問題:

    1.經驗不足的使用者通常不會意識到Windows Update並且沒有安裝它。 微軟在Windows ME中使用自動更新組件解決了此問題,該組件顯示了更新的可用性,並提供了自動安裝選項。

    2.擁有多個Windows副本的客戶(例如企業使用者)不僅必須更新公司中的每個Windows部署,還要解除安裝微軟發佈的破壞現有功能的修補程式。

微軟於2003年10月推出了「修補程式星期二」,以降低分發修補程式的成本[10]。該系統每月發佈累積安全修補程式,並在每個月的第二個星期二推播所有修補程式,這是為了系統管理員準備的事件。 第二天,被非正式地稱為「漏洞星期三」,[11]標誌着屆時漏洞將可能大量利用未安裝安全修補程式的電腦。

周二被選為分發軟件修補程式的最佳日期。 這樣做是為了最大限度地延長即將到來的周末之前的可用時間,以糾正這些修補程式可能出現的任何問題,同時騰出周一解決上周末可能出現的其他意外問題。

安全影響

一個明顯的安全隱患是,有一個解決方案的安全問題被公眾拒絕長達一個月。當漏洞未廣為人知或輕微時,此政策就足夠了,但情況並非總是如此。有些情況下,漏洞資訊已泄露或實際蠕蟲在下一個計劃的修補程式星期二之前流行。在關鍵情況下,微軟會在準備好時發佈相應的修補程式,以便在檢查並經常安裝更新時降低風險。

在「點亮 2015」活動中,微軟公佈了分發安全修補程式的變化。他們準備好後立即發佈家用電腦,平板電腦和手機的安全更新,而企業客戶將保持每月更新周期,並將其更新為Windows Update for Business[12]

周三漏洞利用事件

修補程式發佈後不久就會出現許多漏洞利用事件[13] ,對修補程式的分析有助於利用開發人員立即利用之前未公開的漏洞,該漏洞將保留在未修補的系統中。[14]因此,「利用星期三」這個詞被創造出來。[15]

微軟已停止技術支援的Windows版本

微軟警告使用者,自2014年4月8日起停止對Windows XP的支援 - 之後執行Windows XP的使用者將面臨被黑客攻擊的風險。由於較新的Windows版本的安全修補程式可以揭示新版本和舊版本中存在的類似(或相同)漏洞,因此可以允許攻擊具有不受支援的Windows版本的裝置(例如「零日攻擊」)。然而,微軟已停止在不受支援的Windows版本中修復此類(和其他)漏洞,無論這些漏洞的廣泛傳播如何,這些漏洞都不固定,執行這些Windows版本的裝置容易受到攻擊。微軟在WannaCry勒索軟件迅速傳播期間做了唯一的一次例外,於2017年5月發佈了針對當時不支援的Windows XP,Windows 8和Windows Server 2003(除了當時支援的Windows版本)之外的修補程式。[16]

對於Windows Vista,「延伸支援」已於2017年4月11日結束,這將使之後發現的漏洞保持不固定,從而為Vista建立與之前相同的情況。[17]

對於Windows 7(帶有Service Pack 1),支援將於2020年1月14日[18]和2023年1月10日結束,對於Windows 8.1, 這將導致這些作業系統的使用者出現相同的「未修復的漏洞」問題。對Windows 8的支援已於2016年1月12日結束(使用者必須安裝Windows 8.1或Windows 10以繼續獲得支援),並且對不帶SP1的Windows 7的支援已於2013年4月9日結束(能夠安裝SP1以繼續獲得支援直到2020年,或者必須安裝Windows 8.1或Windows 10才能在2020年之後獲得支援。)

Windows 10/11

隨着Windows 10的推出,一個重大變化是微軟開始每年兩次發佈新版本的Windows 10(Windows 11發佈後改為每年1次),並且隨着微軟的「現代系統生命周期政策」,新發佈的Windows 10版本開始了以前版本的「寬限期」。 關於支援 - 不同於以前只通過Service Pack接收不頻繁更新的Windows產品,並且支援受「固定生命周期策略」的約束。有了這個新政策,Windows 10的家用版和專業版將在發佈後的18個月內提供安全更新和功能更新(所謂的「主流支援」)企業版和教育版將在發佈後的24個月內提供安全和功能更新。[17]

舉個例子:微軟將於2018年10月停止支援Windows 10 家用版 / 專業版1703(2017年4月發佈),對版本1507和1511(2015年發佈)的支援將於2017年正式結束[19]。微軟宣佈,它將為至少一個「半年度頻道」(SAC)Windows 10版本提供「延伸支援」(只提供安全更新但不提供功能更新),直到2025年10月14日結束。[20]

根據微軟的說法,「裝置需要在[目前版本]到達服務終結之前安裝最新版本(功能更新),以說明保持您的裝置安全,並保持微軟的支援"。[17]與以前的Windows作業系統一樣,執行此類不受支援的Windows版本(不再接收安全修補程式)的任何裝置都可能受到「支援終止」日期開始的「未修復漏洞」問題的影響。為了解決這個問題,微軟已經為Windows 10/11的家用版和專業版設計了更新系統,因此在大多數情況下,如果技術上可行的話,最新的Windows版本會自動下載和安裝 - 但是由於強制升級等其他問題受到了批評。

其他公司採用的修補程式

當公司建議使用者安裝安全更新時,SAP公司的「安全修補程式日」被選中與修補程式星期二一致。[21]自2012年11月起,Adobe SystemsFlash Player更新時間表也與修補程式星期二相吻合。[22] 其中一個原因是Flash Player作為Windows的一部分從Windows 8開始,內建的Flash Player更新和基於外掛程式的版本都需要同時發佈,以防止逆向工程威脅。

例外

  • 每天更新:Microsoft Defender的更新。
  • 一般緊急修補程式:在定期修補程式後14天釋出。
  • 非常緊急修補程式:不定期釋出。

參考資料

  1. ^ August updates for Windows 8.1 and Windows Server 2012 R2. Windows Experience Blog. [25 November 2015]. (原始內容存檔於2015-09-06). 
  2. ^ Microsoft Patch Tuesday to target Windows, IE. CNet. October 10, 2011 [November 9, 2011]. (原始內容存檔於2012-11-04). 
  3. ^ .NET Framework 1.1 Servicing Releases on Windows Update for 64-bit Systems. Microsoft. March 28, 2006 [November 8, 2011]. (原始內容存檔於2012年3月27日). 
  4. ^ Understanding Windows automatic updating. Microsoft — Understanding Windows — Get Help. [July 3, 2014]. (原始內容存檔於2016-06-22). 
  5. ^ Budd, Christopher. Ten Years of Patch Tuesdays: Why It’s Time to Move On. GeekWire. [28 July 2015]. (原始內容存檔於2021-09-25). 
  6. ^ Gregg Keizer. Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week. Computerworld. 9 June 2011 [25 November 2015]. (原始內容存檔於2014-04-20). 
  7. ^ Microsoft Ready To Patch 34 Security Vulnerabilities. ITProPortal. [25 November 2015]. (原始內容存檔於2021-09-25). 
  8. ^ Gregg Keizer. Microsoft to patch critical Windows Server vulnerability. Techworld. [25 November 2015]. (原始內容存檔於2011-06-24). 
  9. ^ Patch Tuesday: WM 6.1 SMTP fix released!. Microsoft — Outlook Mobile Team Blog. November 11, 2008 [November 9, 2011]. (原始內容存檔於2012-07-08). 
  10. ^ Microsoft details new security plan. 2003-10-09. (原始內容存檔於2020-10-27) (英語). 
  11. ^ Patch Tuesday… Exploit Wednesday. 2006-10-04. (原始內容存檔於2021-01-27) (英語). 
  12. ^ Windows 10 bombshell: Microsoft to KILL OFF Patch Tuesday. 2015-05-04. (原始內容存檔於2020-04-12) (英語). 
  13. ^ Exploit Wednesday. 2019-07-30. (原始內容存檔於2021-01-09) (英語). 
  14. ^ George Kurtz. Operation “Aurora” Hit Google, Others. 2010-01-14. 原始內容存檔於2012-01-17 (英語). 
  15. ^ Are Patches Leading to Exploits?. (原始內容存檔於2020-09-26) (英語). 
  16. ^ Customer Guidance for WannaCrypt attacks. 2017-05-12. (原始內容存檔於2019-05-24) (英語). 
  17. ^ 17.0 17.1 17.2 Windows lifecycle fact sheet. (原始內容存檔於2017-04-24) (英語). 
  18. ^ Windows lifecycle fact sheet. (原始內容存檔於2017-04-24). 
  19. ^ Windows 10 v1507 End of Servicing for CB and CBB. Microsoft. 2018-07-21. (原始內容存檔於2019-11-08) (英語). 
  20. ^ product lifecycle. (原始內容存檔於2019-01-09) (英語). 
  21. ^ SAP introduces a patch day. 2010-09-15. 原始內容存檔於2011-08-11 (英語). 
  22. ^ Adobe switches Flash fix schedule to Patch Tuesdays. 2012-11-08. (原始內容存檔於2019-08-02) (英語).