周二补丁日
周二补丁日(英语:Patch Tuesday)也称补丁星期二、星期二更新(Update Tuesday[1])等,它是一个在行业内被广泛使用的非正式术语,指微软定期发布其软件产品的更新补丁[2][3][4]。微软于2003年10月正式开始了此模式[5]。
周二补丁日发生在每个月第二周(有时是第四周)的周二,于UTC时间18:00或17:00开始,经由Windows Update推送给用户。同时,补丁会被发布至微软网站上,微软知识库和Technet公告也会随之更新。
微软有一种习惯,会在偶数月份发布更多的更新,相应奇数月份的更新会更少。[6][7][8]少数更新也会在周二补丁日之外被发布。某些更新,例如Microsoft Defender的病毒库更新则会每天发布。有时候,在一次常规的周二补丁日之后会有一次额外的周二补丁日。另外一些更新则可能随时会被发布。[9]
历史
编辑从Windows 98开始,微软集成了 Windows Update,它将检查微软不定期发布的 Windows 的补丁。除此之外,它还会检查其他微软产品的补丁,如Microsoft Office、Visual Studio和SQL Server等。
早期版本的Windows Update存在两个问题:
1.经验不足的用户通常不会意识到Windows Update并且没有安装它。 微软在Windows ME中使用自动更新组件解决了此问题,该组件显示了更新的可用性,并提供了自动安装选项。
2.拥有多个Windows副本的客户(例如企业用户)不仅必须更新公司中的每个Windows部署,还要卸载微软发布的破坏现有功能的补丁。
微软于2003年10月推出了“补丁星期二”,以降低分发补丁的成本[10]。该系统每月发布累积安全补丁,并在每个月的第二个星期二推送所有补丁,这是为了系统管理员准备的事件。 第二天,被非正式地称为“漏洞星期三”,[11]标志着届时漏洞将可能大量利用未安装安全补丁的电脑。
周二被选为分发软件补丁的最佳日期。 这样做是为了最大限度地延长即将到来的周末之前的可用时间,以纠正这些补丁可能出现的任何问题,同时腾出周一解决上周末可能出现的其他意外问题。
安全影响
编辑一个明显的安全隐患是,有一个解决方案的安全问题被公众拒绝长达一个月。当漏洞未广为人知或轻微时,此政策就足够了,但情况并非总是如此。有些情况下,漏洞资讯已泄露或实际蠕虫在下一个计划的补丁星期二之前流行。在关键情况下,微软会在准备好时发布相应的修补程序,以便在检查并经常安装更新时降低风险。
在“点亮 2015”活动中,微软公布了分发安全补丁的变化。他们准备好后立即发布家用电脑,平板电脑和手机的安全更新,而企业客户将保持每月更新周期,并将其更新为Windows Update for Business[12]。
周三漏洞利用事件
编辑补丁发布后不久就会出现许多漏洞利用事件[13] ,对补丁的分析有助于利用开发人员立即利用之前未公开的漏洞,该漏洞将保留在未修补的系统中。[14]因此,“利用星期三”这个词被创造出来。[15]
微软已停止技术支持的Windows版本
编辑微软警告用户,自2014年4月8日起停止对Windows XP的支持 - 之后运行Windows XP的用户将面临被骇客攻击的风险。由于较新的Windows版本的安全补丁可以揭示新版本和旧版本中存在的类似(或相同)漏洞,因此可以允许攻击具有不受支持的Windows版本的设备(例如“零日攻击”)。然而,微软已停止在不受支持的Windows版本中修复此类(和其他)漏洞,无论这些漏洞的广泛传播如何,这些漏洞都不固定,运行这些Windows版本的设备容易受到攻击。微软在WannaCry勒索软件迅速传播期间做了唯一的一次例外,于2017年5月发布了针对当时不支持的Windows XP,Windows 8和Windows Server 2003(除了当时支持的Windows版本)之外的补丁。[16]
对于Windows Vista,“扩展支持”已于2017年4月11日结束,这将使之后发现的漏洞保持不固定,从而为Vista创建与之前相同的情况。[17]
对于Windows 7(带有Service Pack 1),支持将于2020年1月14日[18]和2023年1月10日结束,对于Windows 8.1, 这将导致这些操作系统的用户出现相同的“未修复的漏洞”问题。对Windows 8的支持已于2016年1月12日结束(用户必须安装Windows 8.1或Windows 10以继续获得支持),并且对不带SP1的Windows 7的支持已于2013年4月9日结束(能够安装SP1以继续获得支持直到2020年,或者必须安装Windows 8.1或Windows 10才能在2020年之后获得支持。)
Windows 10/11
编辑随着Windows 10的推出,一个重大变化是微软开始每年两次发布新版本的Windows 10(Windows 11发布后改为每年1次),并且随着微软的“现代系统生命周期政策”,新发布的Windows 10版本开始了以前版本的“宽限期”。 关于支持 - 不同于以前只通过Service Pack接收不频繁更新的Windows产品,并且支持受“固定生命周期策略”的约束。有了这个新政策,Windows 10的家庭版和专业版将在发布后的18个月内提供安全更新和功能更新(所谓的“主流支持”)企业版和教育版将在发布后的24个月内提供安全和功能更新。[17]
举个例子:微软将于2018年10月停止支持Windows 10 家庭版 / 专业版1703(2017年4月发布),对版本1507和1511(2015年发布)的支持将于2017年正式结束[19]。微软宣布,它将为至少一个“半年度频道”(SAC)Windows 10版本提供“扩展支持”(只提供安全更新但不提供功能更新),直到2025年10月14日结束。[20]
根据微软的说法,“设备需要在[当前版本]到达服务终结之前安装最新版本(功能更新),以帮助保持您的设备安全,并保持微软的支持"。[17]与以前的Windows操作系统一样,运行此类不受支持的Windows版本(不再接收安全补丁)的任何设备都可能受到“支持终止”日期开始的“未修复漏洞”问题的影响。为了解决这个问题,微软已经为Windows 10/11的家庭版和专业版设计了更新系统,因此在大多数情况下,如果技术上可行的话,最新的Windows版本会自动下载和安装 - 但是由于强制升级等其他问题受到了批评。
其他公司采用的补丁
编辑当公司建议用户安装安全更新时,SAP公司的“安全补丁日”被选中与补丁星期二一致。[21]自2012年11月起,Adobe Systems的Flash Player更新时间表也与补丁星期二相吻合。[22] 其中一个原因是Flash Player作为Windows的一部分从Windows 8开始,内建的Flash Player更新和基于插件的版本都需要同时发布,以防止逆向工程威胁。
例外
编辑- 每天更新:Microsoft Defender的更新。
- 一般紧急补丁:在定期补丁后14天发布。
- 非常紧急补丁:不定期发布。
参考资料
编辑- ^ August updates for Windows 8.1 and Windows Server 2012 R2. Windows Experience Blog. [25 November 2015]. (原始内容存档于2015-09-06).
- ^ Microsoft Patch Tuesday to target Windows, IE. CNet. October 10, 2011 [November 9, 2011]. (原始内容存档于2012-11-04).
- ^ .NET Framework 1.1 Servicing Releases on Windows Update for 64-bit Systems. Microsoft. March 28, 2006 [November 8, 2011]. (原始内容存档于2012年3月27日).
- ^ Understanding Windows automatic updating. Microsoft — Understanding Windows — Get Help. [July 3, 2014]. (原始内容存档于2016-06-22).
- ^ Budd, Christopher. Ten Years of Patch Tuesdays: Why It’s Time to Move On. GeekWire. [28 July 2015]. (原始内容存档于2021-09-25).
- ^ Gregg Keizer. Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week. Computerworld. 9 June 2011 [25 November 2015]. (原始内容存档于2014-04-20).
- ^ Microsoft Ready To Patch 34 Security Vulnerabilities. ITProPortal. [25 November 2015]. (原始内容存档于2021-09-25).
- ^ Gregg Keizer. Microsoft to patch critical Windows Server vulnerability. Techworld. [25 November 2015]. (原始内容存档于2011-06-24).
- ^ Patch Tuesday: WM 6.1 SMTP fix released!. Microsoft — Outlook Mobile Team Blog. November 11, 2008 [November 9, 2011]. (原始内容存档于2012-07-08).
- ^ Microsoft details new security plan. 2003-10-09. (原始内容存档于2020-10-27) (英语).
- ^ Patch Tuesday… Exploit Wednesday. 2006-10-04. (原始内容存档于2021-01-27) (英语).
- ^ Windows 10 bombshell: Microsoft to KILL OFF Patch Tuesday. 2015-05-04. (原始内容存档于2020-04-12) (英语).
- ^ Exploit Wednesday. 2019-07-30. (原始内容存档于2021-01-09) (英语).
- ^ George Kurtz. Operation “Aurora” Hit Google, Others. 2010-01-14. 原始内容存档于2012-01-17 (英语).
- ^ Are Patches Leading to Exploits?. (原始内容存档于2020-09-26) (英语).
- ^ Customer Guidance for WannaCrypt attacks. 2017-05-12. (原始内容存档于2019-05-24) (英语).
- ^ 17.0 17.1 17.2 Windows lifecycle fact sheet. (原始内容存档于2017-04-24) (英语).
- ^ Windows lifecycle fact sheet. (原始内容存档于2017-04-24).
- ^ Windows 10 v1507 End of Servicing for CB and CBB. Microsoft. 2018-07-21. (原始内容存档于2019-11-08) (英语).
- ^ product lifecycle. (原始内容存档于2019-01-09) (英语).
- ^ SAP introduces a patch day. 2010-09-15. 原始内容存档于2011-08-11 (英语).
- ^ Adobe switches Flash fix schedule to Patch Tuesdays. 2012-11-08. (原始内容存档于2019-08-02) (英语).