Patch Tuesday

Da Wikipedia, l'enciclopedia libera.

Patch Tuesday è il nome dato da Microsoft al secondo martedì di ogni mese, giorno in cui l'azienda rilascia i suoi aggiornamenti per la sicurezza.[1]

Cominciando con Windows 98, Microsoft incorporò il sistema "Windows Update", che ricercava in automatico le patch per Windows e le sue componenti, che Microsoft rilasciava ad intermittenza. Con il lancio di Microsoft Update, questo sistema ricerca anche gli aggiornamenti per altri Prodotti Microsoft, inclusi Office, Visual Studio, SQL Server, ed altri.

Costi per lo sviluppo delle patch[modifica | modifica wikitesto]

Il sistema Windows Update soffriva di due problemi principali: il primo era che l’utente meno esperto ignorava spesso l’esistenza di Windows Update e non lo utilizzava; la soluzione di Microsoft a questo problema fu il sistema di aggiornamento automatico (Automatic Update), che notificava ad ogni utente che un aggiornamento era disponibile per il suo sistema. Il secondo problema era che i clienti con molte copie di Windows non solo dovevano aggiornare ogni installazione di Windows nella compagnia, ma anche disinstallare le patch fornite da Microsoft che disabilitavano le funzionalità esistenti.

Onde ridurre i costi relativi allo sviluppo delle patch, Microsoft introdusse "Patch Tuesday" (il Martedì delle Patch), nell'ottobre del 2003[2]. Le patch di sicurezza si accumulano per un mese, e vengono poi rilasciate contemporaneamente in una data determinata, solitamente il secondo Martedì di ogni mese, data per cui gli amministratori di sistemi si possono tenere pronti. I termini non-Microsoft per il giorno seguente sono "Exploit Wednesday" (Mercoledì dell'Exploit) e "Zero day attack" (Attacco del giorno zero), quando possono essere lanciati degli attacchi contro le vulnerabilità appena annunciate.

Implicazioni per la sicurezza[modifica | modifica wikitesto]

La più ovvia implicazione per la sicurezza è che i problemi di sicurezza che hanno una soluzione non sono rilasciati al pubblico per un periodo che può durare fino ad un mese. Questa politica è adeguata se la vulnerabilità è scarsamente nota[senza fonte], ma non è sempre questo il caso.

Nel passato, si sono avuti casi dove informazioni circa una vulnerabilità o veri e propri worms sono stati diffusi fra gli utenti un giorno o due prima del “Martedì della Patch” [senza fonte]. Ciò non lascia a Microsoft il tempo sufficiente per risolvere tali problemi e quindi, teoricamente, lascia una finestra di un mese per eventuali attacchi che sfruttino la falla, prima che una patch sia disponibile per sistemare ufficialmente il problema. Microsoft tuttavia rilascia le patch critiche appena sono pronte, perciò questo non è normalmente un problema.

Exploit Wednesday[modifica | modifica wikitesto]

Molti sfruttamenti delle falle nei vari sistemi avvengono poco dopo il rilascio di una patch. Analizzando la patch medesima, gli sfruttatori delle falle possono capire con facilità come approfittare delle vulnerabilità evidenziate.[3] ed attaccare i sistemi che non sono stati patchati. [senza fonte] In seguito a questi eventi, si coniò il termine "Exploit Wednesday" (Mercoledì dell'Exploit).[4]

Impatto sulla larghezza di banda[modifica | modifica wikitesto]

Nell'agosto del 2007, Skype sperimentò un'interruzione del servizio di due giorni in seguito ad un “Patch Tuesday”; secondo Skype tale interruzione fu causata da un bug precedentemente non identificato e rivelato dal numero anormalmente alto di riavvii.[5]

Voci correlate[modifica | modifica wikitesto]

Note[modifica | modifica wikitesto]

  1. ^ Security updates, Microsoft, 9 ottobre 2007. URL consultato il 2 novembre 2007.
  2. ^ Microsoft details new security plan - CNET News
  3. ^ (EN) George Kurtz, Operation “Aurora” Hit Google, Others in mcafee.com, 14 gennaio 2010. URL consultato il 14 gennaio 2010.
  4. ^ Jabulani Leffall, Are Patches Leading to Exploits?, The Register, 12 ottobre 2007. URL consultato il 25 febbraio 2009.
  5. ^ John Layden, Patch Tuesday update triggered Skype outage, The Register, 20 agosto 2007. URL consultato il 28 agosto 2007.

Collegamenti esterni[modifica | modifica wikitesto]