Patch Tuesday

Da Wikipedia, l'enciclopedia libera.

Patch Tuesday è il nome dato da Microsoft al secondo martedì di ogni mese, giorno in cui l'azienda pubblicava i suoi aggiornamenti per la sicurezza.[1]

Cominciando con Windows 98, Microsoft incorporò il sistema "Windows Update", che ricercava in automatico le patch per Windows e le sue componenti, che Microsoft pubblicava ad intermittenza. Con il lancio di Microsoft Update, questo sistema ricerca anche gli aggiornamenti per altri Prodotti Microsoft, inclusi Office, Visual Studio, SQL Server, ed altri.

Costi per lo sviluppo delle patch[modifica | modifica wikitesto]

Il sistema Windows Update soffriva di due problemi principali: il primo era che l’utente meno esperto ignorava spesso l’esistenza di Windows Update e non lo utilizzava; la soluzione di Microsoft a questo problema fu il sistema di aggiornamento automatico (Automatic Update), che notificava ad ogni utente che un aggiornamento era disponibile per il suo sistema. Il secondo problema era che i clienti con molte copie di Windows non solo dovevano aggiornare ogni installazione di Windows nella compagnia, ma anche disinstallare le patch fornite da Microsoft che disabilitavano le funzionalità esistenti.

Onde ridurre i costi relativi allo sviluppo delle patch, Microsoft introdusse "Patch Tuesday" (il Martedì delle Patch), nell'ottobre del 2003[2]. Le patch di sicurezza si accumulano per un mese, e vengono poi distribuite contemporaneamente ad una data determinata, solitamente il secondo Martedì di ogni mese, data per cui gli amministratori di sistemi si possono tenere pronti. I termini non-Microsoft per il giorno seguente sono "Exploit Wednesday" (Mercoledì dell'Exploit) e "Zero day attack" (Attacco del giorno zero), quando possono essere lanciati degli attacchi contro le vulnerabilità appena annunciate.

Implicazioni per la sicurezza[modifica | modifica wikitesto]

La più ovvia implicazione per la sicurezza è che i problemi di sicurezza che hanno una soluzione non sono resi disponibili per il pubblico per un periodo che può durare fino ad un mese. Questa politica è adeguata se la vulnerabilità è scarsamente nota[senza fonte], ma non è sempre questo il caso.

Nel passato, si sono avuti casi dove informazioni circa una vulnerabilità o veri e propri worms sono stati diffusi fra gli utenti un giorno o due prima del “Martedì della Patch” [senza fonte]. Ciò non lascia a Microsoft il tempo sufficiente per risolvere tali problemi e quindi, teoricamente, lascia una finestra di un mese per eventuali attacchi che sfruttino la falla, prima che una patch sia disponibile per sistemare ufficialmente il problema. Microsoft tuttavia pubblica le patch critiche appena sono pronte[3], perciò questo non è normalmente un problema.

Exploit Wednesday[modifica | modifica wikitesto]

Molti sfruttamenti delle falle nei vari sistemi avvengono poco dopo la pubblicazione di una patch. Analizzando la patch medesima, gli sfruttatori delle falle possono capire con facilità come approfittare delle vulnerabilità evidenziate.[4] ed attaccare i sistemi che non sono stati patchati. [senza fonte] In seguito a questi eventi, si coniò il termine "Exploit Wednesday" (Mercoledì dell'Exploit).[5]

Impatto sulla larghezza di banda[modifica | modifica wikitesto]

Nell'agosto del 2007, Skype sperimentò un'interruzione del servizio di due giorni in seguito ad un “Patch Tuesday”; secondo Skype tale interruzione fu causata da un bug precedentemente non identificato e rivelato dal numero anormalmente alto di riavvii.[6]

Voci correlate[modifica | modifica wikitesto]

Note[modifica | modifica wikitesto]

  1. ^ Security updates, Microsoft, 9 ottobre 2007. URL consultato il 2 novembre 2007.
  2. ^ Microsoft details new security plan - CNET News
  3. ^ Joris Evers, Microsoft pulls 'critical' Windows update, CNET News.com, 9 settembre 2005. URL consultato il 12 dicembre 2006.
  4. ^ (EN) George Kurtz, Operation “Aurora” Hit Google, Others su mcafee.com, 14 gennaio 2010. URL consultato il 14 gennaio 2010.
  5. ^ Jabulani Leffall, Are Patches Leading to Exploits?, The Register, 12 ottobre 2007. URL consultato il 25 febbraio 2009.
  6. ^ John Layden, Patch Tuesday update triggered Skype outage, The Register, 20 agosto 2007. URL consultato il 28 agosto 2007.

Collegamenti esterni[modifica | modifica wikitesto]

Microsoft Portale Microsoft: accedi alle voci di Wikipedia che trattano di Microsoft