Patch Tuesday

Patch Tuesday è il nome dato da Microsoft al secondo martedì di ogni mese, giorno in cui l'azienda pubblica i suoi aggiornamenti per la sicurezza.^[1]

Cominciando con Windows 98, Microsoft incorporò il sistema "Windows Update", che ricercava in automatico le patch per Windows e le sue componenti, che Microsoft pubblicava ad intermittenza. Con il lancio di Microsoft Update, questo sistema ricerca anche gli aggiornamenti per altri Prodotti Microsoft, inclusi Office, Visual Studio, SQL Server, ed altri.

Costi per lo sviluppo delle patch modifica

Il sistema Windows Update soffriva di due problemi principali: il primo era che l'utente meno esperto ignorava spesso l'esistenza di Windows Update e non lo utilizzava; la soluzione di Microsoft a questo problema fu il sistema di aggiornamento automatico (Automatic Update), che notificava ad ogni utente che un aggiornamento era disponibile per il suo sistema. Il secondo problema era che i clienti con molte copie di Windows non solo dovevano aggiornare ogni installazione di Windows nella compagnia, ma anche disinstallare le patch fornite da Microsoft che disabilitavano le funzionalità esistenti.

Onde ridurre i costi relativi allo sviluppo delle patch, Microsoft introdusse "Patch Tuesday" (il Martedì delle Patch), nell'ottobre del 2003^[2]. Le patch di sicurezza si accumulano per un mese, e vengono poi distribuite contemporaneamente ad una data determinata, solitamente il secondo Martedì di ogni mese, data per cui gli amministratori di sistemi si possono tenere pronti. I termini non-Microsoft per il giorno seguente sono "Exploit Wednesday" (Mercoledì dell'Exploit) e "Zero day attack" (Attacco del giorno zero), quando possono essere lanciati degli attacchi contro le vulnerabilità appena annunciate.

Implicazioni per la sicurezza modifica

La più ovvia implicazione per la sicurezza è che i problemi di sicurezza che hanno una soluzione non sono resi disponibili per il pubblico per un periodo che può durare fino ad un mese.

I malitenzionati potrebbero diffondere del malware un giorno o due prima del “Martedì della Patch”. Ciò non lascia a Microsoft il tempo sufficiente per risolvere tali problemi e quindi, teoricamente, lascia una finestra di un mese per eventuali attacchi che sfruttino la falla, prima che una patch sia disponibile per sistemare ufficialmente il problema. Microsoft tuttavia pubblica le patch critiche appena sono pronte^[3], perciò questo non è normalmente un problema.

Le patch mensili sono cumulative nel senso che quella del mese X contiene anche i fix di quella del mese X-1.

Exploit Wednesday modifica

Molti sfruttamenti delle falle nei vari sistemi avvengono poco dopo la pubblicazione di una patch. Analizzando la patch medesima, gli sfruttatori delle falle possono capire con facilità come approfittare delle vulnerabilità evidenziate.^[4] ed attaccare i sistemi che non sono stati patchati. ^{[senza fonte]} In seguito a questi eventi, si coniò il termine "Exploit Wednesday" (Mercoledì dell'Exploit).^[5]

Impatto sulla larghezza di banda modifica

Nell'agosto del 2007, Skype sperimentò un'interruzione del servizio di due giorni in seguito ad un “Patch Tuesday”; secondo Skype tale interruzione fu causata da un bug precedentemente non identificato e rivelato dal numero anormalmente alto di riavvii.^[6]

Curiosità modifica

Per la prima volta nella storia, il Patch Tuesday di febbraio 2017 è stato rinviato per un problema rilevato all'ultimo minuto ed è stato pubblicato insieme a quello di marzo 2017^[7]. Rimane ad ora l'unico "Patch Tuesday mancato" in quasi 20 anni.

Note modifica

^ Security updates, su microsoft.com, Microsoft, 9 ottobre 2007. URL consultato il 2 novembre 2007.
^ Microsoft details new security plan - CNET News
^ Joris Evers, Microsoft pulls 'critical' Windows update, CNET News.com, 9 settembre 2005. URL consultato il 12 dicembre 2006.
^ (EN) George Kurtz, Operation “Aurora” Hit Google, Others, su mcafee.com, 14 gennaio 2010. URL consultato il 14 gennaio 2010.
^ Jabulani Leffall, Are Patches Leading to Exploits?, su redmondmag.com, The Register, 12 ottobre 2007. URL consultato il 25 febbraio 2009 (archiviato dall'url originale il 15 gennaio 2009).
^ John Layden, Patch Tuesday update triggered Skype outage, The Register, 20 agosto 2007. URL consultato il 28 agosto 2007.
^ Microsoft, Patch Tuesday di febbraio rimandato a marzo, su windows.hdblog.it. URL consultato il 16 febbraio 2017.

Voci correlate modifica

Collegamenti esterni modifica

Microsoft: Bulletins and Advisories (Security Bulletin List and Search)
Microsoft Support Website, su support.microsoft.com.
Bruce Schneier's blog - Esempio di un rapporto di una vulnerabilità trovata in rete con una tempistica apparentemente coordinata con il "Martedì della Patch".
Bruce Schneier's blog - Esempio di una patch pubblicata rapidamente, non per un problema di sicurezza ma per ragioni legate al DRM.

Portale Microsoft: accedi alle voci di Wikipedia che trattano di Microsoft

[1] Security updates, su microsoft.com, Microsoft, 9 ottobre 2007. URL consultato il 2 novembre 2007.

[2] Microsoft details new security plan - CNET News

[3] Joris Evers, Microsoft pulls 'critical' Windows update, CNET News.com, 9 settembre 2005. URL consultato il 12 dicembre 2006.

[4] (EN) George Kurtz, Operation “Aurora” Hit Google, Others, su mcafee.com, 14 gennaio 2010. URL consultato il 14 gennaio 2010.

[5] Jabulani Leffall, Are Patches Leading to Exploits?, su redmondmag.com, The Register, 12 ottobre 2007. URL consultato il 25 febbraio 2009 (archiviato dall'url originale il 15 gennaio 2009).

[6] John Layden, Patch Tuesday update triggered Skype outage, The Register, 20 agosto 2007. URL consultato il 28 agosto 2007.

[7] Microsoft, Patch Tuesday di febbraio rimandato a marzo, su windows.hdblog.it. URL consultato il 16 febbraio 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]