Patch tirsdag - Patch Tuesday
Patch Tuesday (også kjent som Update Tuesday ) er et uoffisielt begrep som brukes for å referere til når Microsoft , Adobe , Oracle og andre regelmessig utgir programvareoppdateringer for sine programvareprodukter. Det er mye omtalt på denne måten av industrien. Microsoft formaliserte Patch Tuesday i oktober 2003. Patch Tuesday er også kjent i Microsoft som "B" -utgivelsen , for å skille den fra "C" og "D" -utgivelsene som skjer i henholdsvis tredje og fjerde uke i måneden.
Patch Tuesday skjer den andre, og noen ganger fjerde, tirsdagen i hver måned i Nord -Amerika. Når det gjelder den integrerte Windows Update (WU) -funksjonen, begynner oppdateringen tirsdag kl. 18:00 eller 17:00 UTC (10:00 PST (UTC − 8) eller 10:00 PDT (UTC − 7)). Oppdateringene vises i nedlastingssenteret før de legges til i WU, og KB -artiklene og Technet -bulletinen låses opp senere.
Microsoft har et mønster for å gi ut et større antall oppdateringer i partallmåneder, og færre i oddetallsmåneder. Mindre oppdateringer blir også utgitt utenfor Patch Tuesday. Daglige oppdateringer består av oppdatering av skadelig programvare for Windows Defender og Microsoft Security Essentials . Noen ganger er det en ekstraordinær patch tirsdag, to uker etter den vanlige patch tirsdag. Noen oppdateringer kan slippes når som helst.
Historie
Fra og med Windows 98 inkluderte Microsoft Windows Update som en gang installert og kjørt, ville se etter oppdateringer til Windows og dets komponenter, som Microsoft ville gi ut periodisk. Med utgivelsen av Microsoft Update sjekker dette systemet også etter oppdateringer for andre Microsoft -produkter , for eksempel Microsoft Office , Visual Studio og SQL Server .
Tidligere versjoner av Windows Update led av to problemer:
- Mindre erfarne brukere forble ofte uvitende om Windows Update og installerte det ikke. Microsoft motvirket dette problemet i Windows ME med komponenten Automatiske oppdateringer , som viste tilgjengeligheten av oppdateringer, med mulighet for automatisk installasjon.
- Kunder med flere kopier av Windows, for eksempel bedriftsbrukere, måtte ikke bare oppdatere hver Windows -distribusjon i selskapet, men også for å avinstallere oppdateringer fra Microsoft som ødela eksisterende funksjonalitet.
Microsoft introduserte "Patch Tuesday" i oktober 2003 for å redusere kostnadene for distribusjon av oppdateringer. Dette systemet samler opp sikkerhetsoppdateringer over en måned, og sender dem alle andre tirsdag i hver måned, en hendelse som systemadministratorer kan forberede seg på. Dagen etter, uformelt kjent som "Utnytt onsdag", markerer tidspunktet da det kan dukke opp utnyttelser i naturen som kan dra fordeler på upatchede maskiner med de nylig annonserte sårbarhetene.
Tirsdag ble valgt som den optimale dagen i uken for å distribuere programvareoppdateringer. Dette gjøres for å maksimere tiden som er tilgjengelig før den kommende helgen for å rette opp eventuelle problemer som kan oppstå med disse oppdateringene, mens du lar mandagen stå fri til å ta opp andre uventede problemer som kan ha oppstått i forrige helg.
Sikkerhetsimplikasjoner
En åpenbar sikkerhetsimplikasjon er at sikkerhetsproblemer som har en løsning, holdes tilbake fra publikum i opptil en måned. Denne policyen er tilstrekkelig når sårbarheten ikke er allment kjent eller er ekstremt uklar, men det er ikke alltid tilfelle.
Det har vært tilfeller der sårbarhetsinformasjon ble offentlig eller faktiske ormer sirkulerte før neste planlagte oppdateringstirsdag. I kritiske tilfeller utsteder Microsoft tilsvarende oppdateringer etter hvert som de blir klare, og reduserer risikoen hvis oppdateringer kontrolleres og installeres ofte.
På Ignite 2015 -hendelsen avslørte Microsoft en endring i distribusjon av sikkerhetsoppdateringer. De slipper sikkerhetsoppdateringer til hjemme -PCer, nettbrett og telefoner så snart de er klare, mens bedriftskunder vil fortsette med den månedlige oppdateringssyklusen, som ble omarbeidet til Windows Update for Business.
Utnytt onsdag
Mange utnyttelseshendelser sees kort tid etter at en oppdatering ble utgitt; analyse av oppdateringen hjelper utnytte utviklere til umiddelbart å dra fordel av det tidligere ukjente sårbarheten, som vil forbli i upatchede systemer. Derfor ble begrepet "Utnytt onsdag" laget.
Utgåtte Windows -versjoner
Microsoft advarte brukerne om at det avsluttet støtten for Windows XP fra og med 8. april 2014 - brukere som kjører Windows XP etterpå vil være i fare for angrep. Ettersom sikkerhetsoppdateringer av nyere Windows-versjoner kan avsløre lignende (eller samme) sårbarheter i både nyere og eldre Windows-versjoner, kan dette tillate angrep på enheter med ikke-støttede Windows-versjoner (jf. " Zero-day attacks "). Imidlertid sluttet Microsoft å fikse slike (og andre) sårbarheter i Windows -versjoner som ikke støttes, uansett hvor kjent slike sårbarheter ble, og etterlot disse sårbarhetene uopprettede og enheter som kjørte disse Windows -versjonene sårbare for angrep. Microsoft gjorde et unikt unntak under den raske spredningen av WannaCry-ransomware og ga ut oppdateringer i mai 2017 for Windows XP, Windows 8 og Windows Server 2003 som ikke ble støttet (i tillegg til deretter støttede Windows-versjoner).
For Windows Vista ble "utvidet support" avsluttet 11. april 2017, noe som vil etterlate sårbarheter som er oppdaget i etterkant, og skape den samme situasjonen for Vista som for XP før.
For Windows 7 (inkludert Service Pack 1) ble supporten avsluttet 14. januar 2020 og 10. januar 2023 for Windows 8.1 ; Dette vil forårsake det samme problemet med "uopprettede sårbarheter" for brukere av disse operativsystemene. Støtte for Windows 8 avsluttet allerede 12. januar 2016 (med brukere som måtte installere Windows 8.1 eller Windows 10 for å fortsette å få støtte), og støtte for Windows 7 uten SP1 ble avsluttet 9. april 2013 (med muligheten til å installere SP1 for å fortsette for å få støtte til 2020, eller å måtte installere Windows 8.1 eller Windows 10 for å få støtte etter 2020).
Windows 10
En stor endring med introduksjonen av Windows 10 var at Microsoft begynte å gi ut en ny versjon av Windows 10 to ganger i året, og med Microsofts "moderne livssykluspolicy" starter en nylig utgitt Windows 10 -versjon en "nådeperiode" for den forrige versjonen med når det gjelder støtte - i motsetning til tidligere Windows -produkter som bare mottok sjeldne oppdateringer via servicepakker, og støtte ble styrt av "fast livssykluspolicy". Med denne nye policyen vil Home- og Pro -versjoner av Windows 10 bli utstyrt med sikkerhets- og funksjonsoppdateringer (såkalt "mainstream support") i opptil 18 måneder etter utgivelsen, "enterprise" og utdanningsversjoner i 24 måneder. For å gi et eksempel: støtte for Windows 10 Home/Pro versjon 1703 (som ble utgitt i april 2017) ble stoppet av Microsoft i oktober 2018, og støtte for versjoner 1507 og 1511 (utgitt i 2015) avsluttet offisielt i 2017. Microsoft kunngjorde at det ville gi "utvidet støtte" (sikkerhet, men ikke funksjonsoppdateringer) for minst en "halvårlig kanal" (SAC) Windows 10-versjon frem til 14. oktober 2025.
I følge Microsoft må en "enhet installere den nyeste versjonen (funksjonsoppdatering) før [den] nåværende versjonen når slutten av tjenesten for å holde enheten sikker og ha den fortsatt støttet av Microsoft". Som med tidligere Windows -operativsystemer, påvirkes alle enheter som kjører en slik ikke -støttet versjon av Windows (som ikke lenger mottar sikkerhetsoppdateringer) av problemet "uopprettede sårbarheter" som begynner med datoen "slutt på støtte". For å motvirke dette har Microsoft designet oppdateringssystemet for Home- og Pro -utgavene av Windows 10 slik at i de fleste tilfeller, hvis det er teknisk mulig, lastes ned og installeres den siste Windows -versjonen automatisk - dette har imidlertid trukket kritikk på grunn av andre problemer som slike tvungne oppgraderinger kan introdusere .
| Versjon | Kodenavn | Markedsføringsnavn | Bygge | Utgivelsesdato | Støttes til (og støttestatus etter farge) | |||
|---|---|---|---|---|---|---|---|---|
| LTSC | Mobil | |||||||
| 1507 | Terskel 1 | Ikke tilgjengelig | 10240 | 29. juli 2015 | 9. mai 2017 | 14. oktober 2025 | Ikke tilgjengelig | |
| 1511 | Terskel 2 | November oppdatering | 10586 | 10. november 2015 | 10. oktober 2017 | 10. april 2018 | Ikke tilgjengelig | 9. januar 2018 |
| 1607 | Redstone 1 | Jubileumsoppdatering | 14393 | 2. august 2016 | 10. april 2018 | 9. april 2019 | 13. oktober 2026 | 9. oktober 2018 |
| 1703 | Redstone 2 | Creators Update | 15063 | 5. april 2017 | 9. oktober 2018 | 8. oktober 2019 | Ikke tilgjengelig | 11. juni 2019 |
| 1709 | Redstone 3 | Fall Creators Update | 16299 | 17. oktober 2017 | 9. april 2019 | 13. oktober 2020 | 14. januar 2020 | |
| 1803 | Redstone 4 | Oppdatering for april 2018 | 17134 | 30. april 2018 | 12. november 2019 | 11. mai 2021 | Ikke tilgjengelig | |
| 1809 | Redstone 5 | Oktober 2018 oppdatering | 17763 | 13. november 2018 | 10. november 2020 | 9. januar 2029 | ||
| 1903 | 19H1 | Oppdatering for mai 2019 | 18362 | 21. mai 2019 | 8. desember 2020 | Ikke tilgjengelig | ||
| 1909 | 19H2 | November 2019 oppdatering | 18363 | 12. november 2019 | 11. mai 2021 | 10. mai 2022 | ||
| 2004 | 20H1 | Oppdatering for mai 2020 | 19041 | 27. mai 2020 | 14. desember 2021 | |||
| 20H2 | 20H2 | Oktober 2020 oppdatering | 19042 | 20. oktober 2020 | 10. mai 2022 | 9. mai 2023 | ||
| 21H1 | 21H1 | Oppdatering fra mai 2021 | 19043 | 18. mai 2021 | 13. desember 2022 | |||
| 21H2 | 21H2 | TBA | 19044 | TBA | 18 måneder | 30 måneder | 5 år | |
| Legende: Gammel versjon, ikke vedlikeholdt Eldre versjon, fortsatt vedlikeholdt Gjeldende stabil versjon Siste forhåndsversjon | ||||||||
| Merknader: | ||||||||
I tillegg til de ofte brukte utgavene som Home and Pro, tilbyr Microsoft spesialiserte "Long-Term Servicing Branch" (LTSB) eller "Long-Term Servicing Channel" (LTSC) versjoner av Windows 10 med lengre støttefrister, styrt av Microsofts "faste livssykluspolicy ", for eksempel" Windows 10 Enterprise 2016 LTSB "vil få utvidet støtte til 13. oktober 2026, og" Windows 10 LTSC 2019 "vil få utvidet støtte til 9. januar 2029.
Adopsjon av andre selskaper
SAPs "Security Patch Day", da selskapet råder brukerne til å installere sikkerhetsoppdateringer, ble valgt for å falle sammen med Patch Tuesday. Adobe Systems oppdateringsplan for Flash Player siden november 2012 sammenfaller også med Patch Tuesday. En av grunnene til dette er at Flash Player kommer som en del av Windows og starter med Windows 8 og Flash Player-oppdateringer for den innebygde og den pluginbaserte versjonen som begge må publiseres samtidig for å forhindre reverse-engineering trusler . Oracles kvartalsvise oppdateringer sammenfaller med Patch Tuesday.
Båndbreddepåvirkning
Windows Update bruker Background Intelligent Transfer Service (BITS) for å laste ned oppdateringene ved hjelp av inaktiv nettverksbåndbredde. Imidlertid vil BITS bruke hastigheten som rapportert av nettverksgrensesnittet (NIC) for å beregne båndbredde. Dette kan føre til båndbreddeberegningsfeil, for eksempel når en rask nettverkskort (f.eks. 10 Mbit/s) er koblet til nettverket via en treg lenke (f.eks. 56 kbit/s) - ifølge Microsoft vil BITS konkurrere om hele båndbredden [av NIC] ... BITS har ingen synlighet av nettverkstrafikken utover klienten. "
Dessuten trenger Windows Update-serverne til Microsoft ikke respektere TCP 's slow-start metningskontroll strategi. Som et resultat kan andre brukere på samme nettverk oppleve betydelig langsommere tilkoblinger fra maskiner som aktivt henter oppdateringer. Dette kan være spesielt merkbart i miljøer der mange maskiner individuelt henter oppdateringer over en delt, båndbreddebegrenset lenke, for eksempel de som finnes i mange multi-PC-hjem og små til mellomstore bedrifter. Krav til båndbredde for å patche et stort antall datamaskiner kan reduseres betydelig ved å distribuere Windows Server Update Services (WSUS) for å distribuere oppdateringene lokalt.
I tillegg til at oppdateringer lastes ned fra Microsoft-servere, kan Windows 10-enheter "dele" oppdateringer på en peer-to-peer- måte med andre Windows 10-enheter på det lokale nettverket, eller til og med med Windows 10-enheter på internett. Dette kan potensielt distribuere oppdateringer raskere samtidig som det reduserer bruken av nettverk med en målingstilkobling.
Se også
Referanser
Videre lesning
- Evers, Joris (2005-09-09). "Microsoft trekker" kritisk "Windows -oppdatering" . CNET News.com . Hentet 2006-12-12 .
- Schneier, Bruce (17. juli 2006). "Null-dagers Microsoft PowerPoint-sårbarhet" . Schneier om sikkerhet . Eksempel på rapport om sårbarhet funnet i naturen med timing tilsynelatende koordinert med "Patch Tuesday"
- Schneier, Bruce (7. september 2006). "Microsoft og FairUse4WM" . Schneier om sikkerhet . Eksempel på et raskt oppdateringssvar, ikke på grunn av et sikkerhetsproblem, men av DRM-relaterte årsaker.