跳转到内容

周二补丁日

本页使用了标题或全文手工转换
维基百科,自由的百科全书

周二补丁日(英語:Patch Tuesday)也称补丁星期二星期二更新Update Tuesday[1])等,它是一个在行业内被广泛使用的非正式术语,指微軟定期發佈其软件产品的更新补丁[2][3][4]。微软于2003年10月正式开始了此模式[5]

周二补丁日发生在每个月第二周(有时是第四周)的周二,于UTC时间18:00或17:00开始,经由Windows Update推送给用户。同时,补丁会被发布至微软网站上,微软知识库和Technet公告也会随之更新。

微软有一种习惯,会在偶数月份发布更多的更新,相应奇数月份的更新会更少。[6][7][8]少数更新也会在周二补丁日之外被发布。某些更新,例如Microsoft Defender的病毒库更新则会每天发布。有时候,在一次常规的周二补丁日之后会有一次额外的周二补丁日。另外一些更新则可能随时会被发布。[9]

历史

[编辑]

Windows 98開始,微软集成了 Windows Update,它将检查微软不定期发布的 Windows 的补丁。除此之外,它还会检查其他微软产品的补丁,如Microsoft OfficeVisual StudioSQL Server等。

早期版本的Windows Update存在两个问题:

    1.经验不足的用户通常不会意识到Windows Update并且没有安装它。 微软在Windows ME中使用自动更新组件解决了此问题,该组件显示了更新的可用性,并提供了自动安装选项。

    2.拥有多个Windows副本的客户(例如企业用户)不仅必须更新公司中的每个Windows部署,还要卸载微软发布的破坏现有功能的补丁。

微软于2003年10月推出了“补丁星期二”,以降低分发补丁的成本[10]。该系统每月发布累积安全补丁,并在每个月的第二个星期二推送所有补丁,这是为了系统管理员准备的事件。 第二天,被非正式地称为“漏洞星期三”,[11]标志着届时漏洞将可能大量利用未安装安全补丁的电脑。

周二被选为分发软件补丁的最佳日期。 这样做是为了最大限度地延长即将到来的周末之前的可用时间,以纠正这些补丁可能出现的任何问题,同时腾出周一解决上周末可能出现的其他意外问题。

安全影响

[编辑]

一个明显的安全隐患是,有一个解决方案的安全问题被公众拒绝长达一个月。当漏洞未广为人知或轻微时,此政策就足够了,但情况并非总是如此。有些情况下,漏洞信息已泄露或实际蠕虫在下一个计划的补丁星期二之前流行。在关键情况下,微软会在准备好时发布相应的修补程序,以便在检查并经常安装更新时降低风险。

在“点亮 2015”活动中,微软公布了分发安全补丁的变化。他们准备好后立即发布家用电脑,平板电脑和手机的安全更新,而企业客户将保持每月更新周期,并将其更新为Windows Update for Business[12]

周三漏洞利用事件

[编辑]

补丁发布后不久就会出现许多漏洞利用事件[13] ,对补丁的分析有助于利用开发人员立即利用之前未公开的漏洞,该漏洞将保留在未修补的系统中。[14]因此,“利用星期三”这个词被创造出来。[15]

微软已停止技术支持的Windows版本

[编辑]

微软警告用户,自2014年4月8日起停止对Windows XP的支持 - 之后运行Windows XP的用户将面临被黑客攻击的风险。由于较新的Windows版本的安全补丁可以揭示新版本和旧版本中存在的类似(或相同)漏洞,因此可以允许攻击具有不受支持的Windows版本的设备(例如“零日攻击”)。然而,微软已停止在不受支持的Windows版本中修复此类(和其他)漏洞,无论这些漏洞的广泛传播如何,这些漏洞都不固定,运行这些Windows版本的设备容易受到攻击。微软在WannaCry勒索软件迅速传播期间做了唯一的一次例外,于2017年5月发布了针对当时不支持的Windows XP,Windows 8和Windows Server 2003(除了当时支持的Windows版本)之外的补丁。[16]

对于Windows Vista,“扩展支持”已于2017年4月11日结束,这将使之后发现的漏洞保持不固定,从而为Vista创建与之前相同的情况。[17]

对于Windows 7(带有Service Pack 1),支持将于2020年1月14日[18]和2023年1月10日结束,对于Windows 8.1, 这将导致这些操作系统的用户出现相同的“未修复的漏洞”问题。对Windows 8的支持已于2016年1月12日结束(用户必须安装Windows 8.1或Windows 10以继续获得支持),并且对不带SP1的Windows 7的支持已于2013年4月9日结束(能够安装SP1以继续获得支持直到2020年,或者必须安装Windows 8.1或Windows 10才能在2020年之后获得支持。)

Windows 10/11

[编辑]

随着Windows 10的推出,一个重大变化是微软开始每年两次发布新版本的Windows 10(Windows 11發佈後改為每年1次),并且随着微软的“现代系统生命周期政策”,新发布的Windows 10版本开始了以前版本的“宽限期”。 关于支持 - 不同于以前只通过Service Pack接收不频繁更新的Windows产品,并且支持受“固定生命周期策略”的约束。有了这个新政策,Windows 10的家庭版和专业版将在发布后的18个月内提供安全更新和功能更新(所谓的“主流支持”)企业版和教育版将在发布后的24个月内提供安全和功能更新。[17]

举个例子:微软将于2018年10月停止支持Windows 10 家庭版 / 专业版1703(2017年4月发布),对版本1507和1511(2015年发布)的支持将于2017年正式结束[19]。微软宣布,它将为至少一个“半年度频道”(SAC)Windows 10版本提供“扩展支持”(只提供安全更新但不提供功能更新),直到2025年10月14日结束。[20]

根据微软的说法,“设备需要在[当前版本]到达服务终结之前安装最新版本(功能更新),以帮助保持您的设备安全,并保持微软的支持"。[17]与以前的Windows操作系统一样,运行此类不受支持的Windows版本(不再接收安全补丁)的任何设备都可能受到“支持终止”日期开始的“未修复漏洞”问题的影响。为了解决这个问题,微软已经为Windows 10/11的家庭版和专业版设计了更新系统,因此在大多数情况下,如果技术上可行的话,最新的Windows版本会自动下载和安装 - 但是由于强制升级等其他问题受到了批评。

其他公司采用的补丁

[编辑]

当公司建议用户安装安全更新时,SAP公司的“安全补丁日”被选中与补丁星期二一致。[21]自2012年11月起,Adobe SystemsFlash Player更新时间表也与补丁星期二相吻合。[22] 其中一个原因是Flash Player作为Windows的一部分从Windows 8开始,内置的Flash Player更新和基于插件的版本都需要同时发布,以防止逆向工程威胁。

例外

[编辑]
  • 每天更新:Microsoft Defender的更新。
  • 一般緊急补丁:在定期补丁後14天釋出。
  • 非常緊急补丁:不定期釋出。

参考资料

[编辑]
  1. ^ August updates for Windows 8.1 and Windows Server 2012 R2. Windows Experience Blog. [25 November 2015]. (原始内容存档于2015-09-06). 
  2. ^ Microsoft Patch Tuesday to target Windows, IE. CNet. October 10, 2011 [November 9, 2011]. (原始内容存档于2012-11-04). 
  3. ^ .NET Framework 1.1 Servicing Releases on Windows Update for 64-bit Systems. Microsoft. March 28, 2006 [November 8, 2011]. (原始内容存档于2012年3月27日). 
  4. ^ Understanding Windows automatic updating. Microsoft — Understanding Windows — Get Help. [July 3, 2014]. (原始内容存档于2016-06-22). 
  5. ^ Budd, Christopher. Ten Years of Patch Tuesdays: Why It’s Time to Move On. GeekWire. [28 July 2015]. (原始内容存档于2021-09-25). 
  6. ^ Gregg Keizer. Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week. Computerworld. 9 June 2011 [25 November 2015]. (原始内容存档于2014-04-20). 
  7. ^ Microsoft Ready To Patch 34 Security Vulnerabilities. ITProPortal. [25 November 2015]. (原始内容存档于2021-09-25). 
  8. ^ Gregg Keizer. Microsoft to patch critical Windows Server vulnerability. Techworld. [25 November 2015]. (原始内容存档于2011-06-24). 
  9. ^ Patch Tuesday: WM 6.1 SMTP fix released!. Microsoft — Outlook Mobile Team Blog. November 11, 2008 [November 9, 2011]. (原始内容存档于2012-07-08). 
  10. ^ Microsoft details new security plan. 2003-10-09. (原始内容存档于2020-10-27) (英语). 
  11. ^ Patch Tuesday… Exploit Wednesday. 2006-10-04. (原始内容存档于2021-01-27) (英语). 
  12. ^ Windows 10 bombshell: Microsoft to KILL OFF Patch Tuesday. 2015-05-04. (原始内容存档于2020-04-12) (英语). 
  13. ^ Exploit Wednesday. 2019-07-30. (原始内容存档于2021-01-09) (英语). 
  14. ^ George Kurtz. Operation “Aurora” Hit Google, Others. 2010-01-14. 原始内容存档于2012-01-17 (英语). 
  15. ^ Are Patches Leading to Exploits?. (原始内容存档于2020-09-26) (英语). 
  16. ^ Customer Guidance for WannaCrypt attacks. 2017-05-12. (原始内容存档于2019-05-24) (英语). 
  17. ^ 17.0 17.1 17.2 Windows lifecycle fact sheet. (原始内容存档于2017-04-24) (英语). 
  18. ^ Windows lifecycle fact sheet. (原始内容存档于2017-04-24). 
  19. ^ Windows 10 v1507 End of Servicing for CB and CBB. Microsoft. 2018-07-21. (原始内容存档于2019-11-08) (英语). 
  20. ^ product lifecycle. (原始内容存档于2019-01-09) (英语). 
  21. ^ SAP introduces a patch day. 2010-09-15. 原始内容存档于2011-08-11 (英语). 
  22. ^ Adobe switches Flash fix schedule to Patch Tuesdays. 2012-11-08. (原始内容存档于2019-08-02) (英语).