Patch Tuesday [1] (también conocido como Update Tuesday [1] [2] ) es un término no oficial utilizado para referirse a cuando Microsoft , Adobe , Oracle y otros lanzan regularmente parches de software para sus productos de software. [3] La industria se refiere ampliamente de esta manera. [4] [5] [6] Microsoft formalizó Patch Tuesday en octubre de 2003. [1] [7] Patch Tuesday se conoce en Microsoft también como la versión "B" , para distinguirla de las versiones "C" y "D" que ocurren en la tercera y cuarta semana del mes, respectivamente. [1]
El martes de parches ocurre el segundo, y a veces el cuarto, martes de cada mes en Norteamérica. En lo que respecta a la función integrada de Windows Update (WU), el martes de parches comienza a las 18:00 o 17:00 UTC (10:00 PST (UTC-8) o 10:00 PDT (UTC-7)). [8] Las actualizaciones aparecen en el Centro de descargas antes de que se agreguen a WU, y los artículos de KB y el boletín de Technet se desbloquean más tarde.
Microsoft tiene un patrón de lanzar una mayor cantidad de actualizaciones en los meses pares y menos en los meses impares. [9] [10] [11] Las actualizaciones menores también se publican fuera del Patch Tuesday. Las actualizaciones diarias consisten en actualizaciones de la base de datos de malware para Windows Defender y Microsoft Security Essentials . A veces hay un Martes de Parches extraordinario, dos semanas después del Martes de Parches regular. Algunas actualizaciones pueden publicarse en cualquier momento. [12]
Historia
A partir de Windows 98 , Microsoft incluyó Windows Update que, una vez instalado y ejecutado, buscaría parches para Windows y sus componentes, que Microsoft publicaría de forma intermitente. Con el lanzamiento de Microsoft Update , este sistema también busca actualizaciones para otros productos de Microsoft , como Microsoft Office , Visual Studio y SQL Server .
Las versiones anteriores de Windows Update tenían dos problemas:
- Los usuarios con menos experiencia a menudo no conocían Windows Update y no lo instalaron. Microsoft contrarrestó este problema en Windows ME con el componente Actualizaciones automáticas , que mostraba la disponibilidad de actualizaciones, con la opción de instalación automática.
- Los clientes con múltiples copias de Windows, como los usuarios corporativos, no solo tenían que actualizar cada implementación de Windows en la empresa, sino también desinstalar los parches emitidos por Microsoft que rompían la funcionalidad existente.
Microsoft introdujo "Patch Tuesday" en octubre de 2003 para reducir el costo de distribución de parches. [13] Este sistema acumula parches de seguridad durante un mes y los envía todos el segundo martes de cada mes, un evento para el cual los administradores del sistema pueden prepararse. El día siguiente, conocido informalmente como "Miércoles de exploits", [14] marca el momento en que pueden aparecer exploits en estado salvaje que aprovechan las vulnerabilidades recién anunciadas en máquinas sin parche.
Se eligió el martes como el día óptimo de la semana para distribuir los parches de software. Esto se hace para maximizar la cantidad de tiempo disponible antes del próximo fin de semana para corregir cualquier problema que pueda surgir con esos parches, dejando el lunes libre para abordar otros problemas inesperados que podrían haber surgido durante el fin de semana anterior [ cita requerida ] .
Implicaciones de seguridad
Una implicación de seguridad obvia es que los problemas de seguridad que tienen solución se ocultan al público hasta por un mes. Esta política es adecuada cuando la vulnerabilidad no es ampliamente conocida o es extremadamente oscura, pero no siempre es así.
Ha habido casos en los que la información sobre vulnerabilidades se hizo pública o los gusanos reales estaban circulando antes del próximo martes de parches programado. En casos críticos, Microsoft emite los parches correspondientes a medida que están listos, lo que alivia el riesgo si las actualizaciones se comprueban e instalan con frecuencia.
En el evento Ignite 2015, Microsoft reveló un cambio en la distribución de parches de seguridad. Lanzan actualizaciones de seguridad para PC, tabletas y teléfonos domésticos tan pronto como están listos, mientras que los clientes empresariales permanecerán en el ciclo de actualización mensual, que fue reelaborado como Windows Update for Business. [15]
Explotar miércoles
Muchos eventos de explotación se ven poco después del lanzamiento de un parche; [16] El análisis del parche ayuda a los desarrolladores de exploits para aprovechar inmediatamente la vulnerabilidad no revelada anteriormente, que permanecerá en los sistemas sin parchear. [17] Por lo tanto, se acuñó el término "Exploit Wednesday". [18]
Versiones descontinuadas de Windows
Microsoft advirtió a los usuarios que descontinuó el soporte para Windows XP a partir del 8 de abril de 2014; los usuarios que ejecuten Windows XP después estarían en riesgo de sufrir ataques. Como los parches de seguridad de las versiones más recientes de Windows pueden revelar vulnerabilidades similares (o iguales) presentes tanto en las versiones más nuevas como en las más antiguas, esto puede permitir ataques a dispositivos con versiones de Windows no compatibles (cf. " ataques de día cero "). Sin embargo, Microsoft dejó de reparar estas (y otras) vulnerabilidades en las versiones de Windows no compatibles, independientemente de cuán ampliamente conocidas se volvieran tales vulnerabilidades, dejando estas vulnerabilidades sin corregir y los dispositivos que ejecutan estas versiones de Windows vulnerables a los ataques. Microsoft hizo una excepción singular durante la rápida propagación del ransomware WannaCry y lanzó parches en mayo de 2017 para Windows XP, Windows 8 y Windows Server 2003 que entonces no eran compatibles (además de las versiones de Windows compatibles). [19]
Para Windows Vista, el "soporte extendido" finalizó el 11 de abril de 2017, lo que dejará sin corregir las vulnerabilidades descubiertas posteriormente, creando la misma situación para Vista que antes para XP. [20]
Para Windows 7 (incluido el Service Pack 1), el soporte finalizó el 14 de enero de 2020 [20] y el 10 de enero de 2023 para Windows 8.1 ; [20] esto provocará el mismo problema de "vulnerabilidades no reparadas" para los usuarios de estos sistemas operativos. El soporte para Windows 8 ya finalizó el 12 de enero de 2016 (los usuarios deben instalar Windows 8.1 o Windows 10 para continuar recibiendo soporte), y el soporte para Windows 7 sin SP1 finalizó el 9 de abril de 2013 (con la posibilidad de instalar SP1 para continuar) para obtener soporte hasta 2020, o tener que instalar Windows 8.1 o Windows 10 para recibir soporte después de 2020). [20]
Windows 10
Un cambio importante con la introducción de Windows 10 fue que Microsoft comenzó a lanzar una nueva versión de Windows 10 dos veces al año, y con la "política de ciclo de vida moderno" de Microsoft, una versión de Windows 10 recién lanzada comienza un "período de gracia" para la versión anterior con Respecto al soporte, a diferencia de los productos anteriores de Windows que recibían solo actualizaciones poco frecuentes a través de paquetes de servicio, y el soporte se regía por la "política de ciclo de vida fijo". Con esta nueva política, las versiones Home y Pro de Windows 10 recibirán actualizaciones de seguridad y funciones (lo que se denomina "soporte general") hasta 18 meses después del lanzamiento, y las versiones "empresarial" y educativa durante 24 meses. [20] Para dar un ejemplo: Microsoft detuvo el soporte para Windows 10 Home / Pro versión 1703 (que se lanzó en abril de 2017) en octubre de 2018, y el soporte para las versiones 1507 y 1511 (lanzadas en 2015) terminó oficialmente en 2017. [21] Microsoft anunció que brindaría "soporte extendido" (seguridad pero no actualizaciones de funciones) para al menos una versión de Windows 10 de "canal semestral" (SAC) hasta el 14 de octubre de 2025. [22]
Según Microsoft, un "dispositivo necesita instalar la última versión (actualización de funciones) antes de que [la] versión actual llegue al final del servicio para ayudar a mantener su dispositivo seguro y seguir siendo compatible con Microsoft". [20] Al igual que con los sistemas operativos Windows anteriores, cualquier dispositivo que ejecute una versión de Windows no compatible (que ya no reciba parches de seguridad) se ve potencialmente afectado por el problema de las "vulnerabilidades no reparadas" que comienza con la fecha de "fin de soporte". [23] Para contrarrestar esto, Microsoft ha diseñado el sistema de actualización para las ediciones Home y Pro de Windows 10 para que, en la mayoría de los casos, si es técnicamente posible, la última versión de Windows se descargue e instale automáticamente ; sin embargo, esto ha generado críticas debido a otros problemas como el forzado las actualizaciones pueden introducir.
Versión | Nombre clave | Nombre comercial | Construir | Fecha de lanzamiento | Soporte hasta (y estado de soporte por color) | |||
---|---|---|---|---|---|---|---|---|
|
| LTSC [a] | Móvil | |||||
1507 | Umbral 1 | N / A | 10240 | 29 de julio de 2015 | 9 de mayo de 2017 | 13 de octubre de 2020 [b] | N / A | |
1511 | Umbral 2 | Actualización de noviembre | 10586 | 10 de noviembre de 2015 | 10 de octubre de 2017 | 10 de abril de 2018 | N / A | 9 de enero de 2018 |
1607 | Redstone 1 | Actualización de aniversario | 14393 | 2 de agosto de, el año 2016 | 10 de abril de 2018 [c] | 9 de abril de 2019 [c] | 12 de octubre de 2021 [d] | 9 de octubre de 2018 |
1703 | Redstone 2 | Actualización de creadores | 15063 | 5 de abril de 2017 [e] | 9 de octubre de 2018 [f] | 8 de octubre de 2019 [f] | N / A | 11 de junio de 2019 |
1709 | Redstone 3 | Actualización de Fall Creators | 16299 [g] | 17 de octubre de 2017 | 9 de abril de 2019 | 13 de octubre de 2020 [h] | 14 de enero de 2020 | |
1803 | Redstone 4 | Actualización de abril de 2018 | 17134 | 30 de abril de 2018 | 12 de noviembre de 2019 | 11 de mayo de 2021 [i] | N / A | |
1809 | Redstone 5 | Actualización de octubre de 2018 | 17763 | 13 de noviembre de 2018 [j] | 10 de noviembre de 2020 [k] | 9 de enero de 2024 [l] | ||
1903 | 19H1 | Actualización de mayo de 2019 | 18362 | 21 de mayo de 2019 | 8 de diciembre de 2020 | N / A | ||
1909 | 19H2 | Actualización de noviembre de 2019 | 18363 | 12 de noviembre de 2019 | 11 de mayo de 2021 | 10 de mayo de 2022 | ||
2004 | 20H1 | Actualización de mayo de 2020 | 19041 | 27 de mayo de 2020 | 14 de diciembre de 2021 | |||
20H2 | 20H2 | Actualización de octubre de 2020 | 19042 | 20 de octubre de 2020 | 10 de mayo de 2022 | 9 de mayo de 2023 | ||
21H1 | 21H1 | Actualización de mayo de 2021 | 19043 | 18 de mayo de 2021 | 13 de diciembre de 2022 | |||
Leyenda: Versión anterior, incompatible [m] Versión anterior, compatible [n] Versión más reciente [o] Versión de vista previa más reciente [p] | ||||||||
Notas:
|
Además de las ediciones de uso común como Home y Pro, Microsoft ofrece versiones especializadas de "Rama de servicio a largo plazo" (LTSB) o "Canal de servicio a largo plazo" (LTSC) de Windows 10 con plazos de soporte más prolongados, regidos por las política de ciclo de vida ", por ejemplo," Windows 10 Enterprise 2016 LTSB "recibirá soporte extendido hasta el 13 de octubre de 2026, [20] y" Windows 10 2019 LTSC "recibirá soporte extendido hasta el 9 de enero de 2029. [24]
Adopción por otras empresas
El "Día del parche de seguridad" de SAP , cuando la empresa aconseja a los usuarios que instalen actualizaciones de seguridad, se eligió para que coincidiera con los martes del parche. [25] El calendario de actualizaciones de Adobe Systems para Flash Player desde noviembre de 2012 también coincide con el martes de parches. [26] Una de las razones de esto es que Flash Player viene como parte de Windows a partir de Windows 8 y las actualizaciones de Flash Player para la versión incorporada y la versión basada en complementos deben publicarse al mismo tiempo para evitar revertir -Amenazas de ingeniería. Las actualizaciones trimestrales de Oracle coinciden con Patch Tuesday. [27]
Impacto del ancho de banda
Windows Update utiliza el Servicio de transferencia inteligente en segundo plano (BITS) para descargar las actualizaciones, utilizando el ancho de banda de la red inactivo. [28] Sin embargo, BITS utilizará la velocidad informada por la interfaz de red (NIC) para calcular el ancho de banda. Esto puede dar lugar a errores de cálculo del ancho de banda, por ejemplo, cuando un adaptador de red rápido (por ejemplo, 10 Mbit / s) se conecta a la red a través de un enlace lento (por ejemplo, 56 kbit / s) - según Microsoft "BITS competirá por el ancho de banda completo [de la NIC] ... BITS no tiene visibilidad del tráfico de la red más allá del cliente ". [29]
Además, los servidores de Windows Update de Microsoft no respetan el TCP 's de comienzo lento estrategia de control de la congestión. [30] Como resultado, otros usuarios de la misma red pueden experimentar conexiones significativamente más lentas desde máquinas que recuperan actualizaciones de forma activa. Esto puede ser particularmente notable en entornos donde muchas máquinas recuperan actualizaciones individualmente a través de un enlace compartido con ancho de banda limitado, como los que se encuentran en muchos hogares con múltiples PC y pequeñas y medianas empresas. Las demandas de ancho de banda de la aplicación de parches a un gran número de equipos se pueden reducir significativamente mediante la implementación de Windows Server Update Services (WSUS) para distribuir las actualizaciones localmente.
Además de las actualizaciones que se descargan de los servidores de Microsoft, los dispositivos con Windows 10 pueden "compartir" actualizaciones de igual a igual con otros dispositivos con Windows 10 en la red local, o incluso con dispositivos con Windows 10 en Internet. Potencialmente, esto puede distribuir actualizaciones más rápido al tiempo que reduce el uso de redes con una conexión medida. [31] [32]
Ver también
- Historia de Microsoft Windows
- Divulgación completa (seguridad informática)
Referencias
- ↑ a b c d Wilcox, John (2018). "Cadencia de mantenimiento de actualizaciones de Windows 10" . Microsoft.
- ^ "Actualizaciones de agosto para Windows 8.1 y Windows Server 2012 R2" . Blog de experiencia de Windows . Consultado el 25 de noviembre de 2015 .
- ^ "Martes de parches de abril de 2020: Microsoft corrige tres vulnerabilidades explotadas activamente" . Ayuda Net Security . 2020-04-14 . Consultado el 12 de octubre de 2020 .
- ^ "Microsoft Patch Tuesday para apuntar a Windows, IE" . CNet. 10 de octubre de 2011 . Consultado el 9 de noviembre de 2011 .
- ^ "Versiones de servicio de .NET Framework 1.1 en Windows Update para sistemas de 64 bits" . Microsoft. 28 de marzo de 2006. Archivado desde el original el 27 de marzo de 2012 . Consultado el 8 de noviembre de 2011 .
- ^ "Comprensión de la actualización automática de Windows" . Microsoft - Comprensión de Windows - Obtenga ayuda . Consultado el 3 de julio de 2014 .
- ^ Budd, Christopher. "Diez años de Patch Tuesday: por qué es hora de seguir adelante" . GeekWire . Consultado el 28 de julio de 2015 .
- ^ Trent, Rod (2004). La Guía de acceso directo del administrador para la gestión de parches . pag. 51. ISBN 9781931491365.
- ^ Gregg Keizer (9 de junio de 2011). "Microsoft publica un fuerte parche el martes, para arreglar 34 fallas la próxima semana" . Computerworld . Consultado el 25 de noviembre de 2015 .
- ^ "Microsoft listo para parchear 34 vulnerabilidades de seguridad" . ITProPortal . Consultado el 25 de noviembre de 2015 .
- ^ Gregg Keizer. "Microsoft para parchear la vulnerabilidad crítica de Windows Server" . Techworld . Archivado desde el original el 24 de junio de 2011 . Consultado el 25 de noviembre de 2015 .
- ^ "Patch Tuesday: ¡Se ha lanzado la corrección de SMTP de WM 6.1!" . Microsoft - Blog del equipo móvil de Outlook. 11 de noviembre de 2008 . Consultado el 9 de noviembre de 2011 .
- ^ "Microsoft detalla nuevo plan de seguridad" . News.cnet.com . Consultado el 12 de febrero de 2013 .
- ^ Paul Oliveria (Comunicaciones técnicas de Trend Micro) (4 de octubre de 2006). "Martes de parches ... Miércoles de explotación" . Blog.trendmicro.com . Consultado el 9 de febrero de 2016 .
- ^ "Bomba de Windows 10: Microsoft para KILL OFF Patch Tuesday" . theregister.co.uk . Consultado el 25 de noviembre de 2015 .
- ^ "Explotar el miércoles" . afterdawn.com . Consultado el 25 de noviembre de 2015 .
- ^ Kurtz, George (14 de enero de 2010). "Operación" Aurora "Hit Google, Otros" . mcafee.com. Archivado desde el original el 17 de enero de 2012 . Consultado el 12 de agosto de 2014 .CS1 maint: bot: estado de URL original desconocido ( enlace )
- ^ Leffall, Jabulani (12 de octubre de 2007). "¿Los parches conducen a exploits?" . Revista Redmond . Consultado el 25 de febrero de 2009 .
- ^ "Orientación al cliente para ataques WannaCrypt" . MSRC . Consultado el 23 de noviembre de 2017 .
- ^ a b c d e f g "Hoja de datos del ciclo de vida de Windows" . Microsoft. 2015-08-31 . Consultado el 31 de agosto de 2015 .
- ^ "Fin del servicio de Windows 10 v1507 para CB y CBB" . support.microsoft.com . Consultado el 4 de agosto de 2019 .
- ^ "Ciclo de vida del producto de búsqueda - Windows 10" . support.microsoft.com . Consultado el 4 de agosto de 2019 .
- ^ "Los últimos parches de Windows 10 causan errores críticos en el menú Inicio" . Llamada de Windows . Consultado el 18 de septiembre de 2019 .
- ^ "Windows 10 2019 LTSC - Ciclo de vida de Microsoft" . Microsoft Docs . Consultado el 22 de enero de 2021 .
- ^ von Etizen, Chris (15 de septiembre de 2010). "SAP presenta un día de parches" . El H Security . Archivado desde el original el 11 de agosto de 2011 . Consultado el 7 de enero de 2013 .
- ^ McAllister, Neil (8 de noviembre de 2012). "Adobe cambia la programación de arreglos de Flash a los martes de parches" . El registro . Consultado el 7 de enero de 2013 .
- ^ "Oracle aborda un error 405 masivo para su actualización de parche trimestral de abril" . Threatpost.com . Consultado el 12 de octubre de 2020 .
- ^ "Acerca de BITS" . MSDN . Microsoft . Consultado el 26 de marzo de 2016 .
- ^ Ancho de banda de la red MSDN BITS
- ^ Fuerte, Ben (25 de noviembre de 2010). "Google y Microsoft hacen trampa en el inicio lento" . benstrong.com. Archivado desde el original (blog) el 7 de diciembre de 2013.
- ^ Warren, Tom (15 de marzo de 2015). "Microsoft entregará actualizaciones de Windows 10 utilizando tecnología peer-to-peer" . The Verge . Vox Media .
- ^ Chacos, Brad (3 de agosto de 2015). "Cómo evitar que Windows 10 use el ancho de banda de su PC para actualizar los sistemas de extraños" . PC World . IDG .
Otras lecturas
- Evers, Joris (9 de septiembre de 2005). "Microsoft saca la actualización de Windows 'crítica'" . CNET News.com . Consultado el 12 de diciembre de 2006 .
- Schneier, Bruce (17 de julio de 2006). "Vulnerabilidad de día cero en Microsoft PowerPoint" . Schneier sobre seguridad . Ejemplo de informe sobre una vulnerabilidad encontrada en la naturaleza con una sincronización aparentemente coordinada con "Patch Tuesday"
- Schneier, Bruce (7 de septiembre de 2006). "Microsoft y FairUse4WM" . Schneier sobre seguridad . Ejemplo de una respuesta rápida a un parche, no debido a un problema de seguridad, sino por motivos relacionados con DRM.
enlaces externos
- Cuenta regresiva del martes de parches de Microsoft
- Boletín de seguridad de Microsoft