Martes de parches

Término no oficial utilizado para referirse a las actualizaciones de software mensuales.

Patch Tuesday ^[1] (también conocido como Update Tuesday ^{[1] [2]} ) es un término no oficial utilizado para referirse a cuando Microsoft , Adobe , Oracle y otros lanzan regularmente parches de software para sus productos de software. ^[3] La industria se refiere ampliamente a él de esta manera. ^{[4] [5] [6]} Microsoft formalizó el Patch Tuesday en octubre de 2003. ^{[1] [7]} Patch Tuesday también se conoce dentro de Microsoft como la versión "B" , para distinguirlo de las versiones "C" y "D". que ocurren en la tercera y cuarta semana del mes, respectivamente. ^[1]

El martes de parches ocurre el segundo martes de cada mes ^[8] en América del Norte. Ocasionalmente se publican actualizaciones de seguridad críticas fuera del ciclo normal del martes de parches; estos se conocen como lanzamientos "fuera de banda". En lo que respecta a la función integrada de Windows Update (WU), el martes de parches comienza a las 10:00 am, hora del Pacífico . ^[9] La información sobre vulnerabilidades está disponible de inmediato en la Guía de actualización de seguridad. Las actualizaciones aparecen en el Centro de descargas antes de agregarlas a WU y los artículos de KB se desbloquean más tarde.

Las actualizaciones diarias consisten en actualizaciones de la base de datos de malware para Microsoft Defender y Microsoft Security Essentials ; estas actualizaciones no forman parte del ciclo normal de lanzamiento del martes de parches.

Historia

A partir de Windows 98 , Microsoft incluyó Windows Update, que una vez instalado y ejecutado buscaría parches para Windows y sus componentes, que Microsoft lanzaría de forma intermitente. Con el lanzamiento de Microsoft Update , este sistema también busca actualizaciones para otros productos de Microsoft , como Microsoft Office , Visual Studio y SQL Server .

Las versiones anteriores de Windows Update sufrieron dos problemas:

1. Los usuarios menos experimentados a menudo desconocían Windows Update y no lo instalaban. Microsoft contrarrestó este problema en Windows ME con el componente Actualizaciones automáticas , que mostraba la disponibilidad de actualizaciones, con la opción de instalación automática.
2. Los clientes con varias copias de Windows, como los usuarios corporativos, no sólo tenían que actualizar cada implementación de Windows en la empresa sino también desinstalar parches emitidos por Microsoft que interrumpían la funcionalidad existente.

Microsoft introdujo el "Martes de parches" en octubre de 2003 para reducir el costo de distribución de parches después del gusano Blaster . ^[10] Este sistema acumula parches de seguridad durante un mes y los envía todos el segundo martes de cada mes, un evento para el cual los administradores del sistema pueden prepararse. El día siguiente, conocido informalmente como "miércoles de exploits", ^[11] marca el momento en que pueden aparecer exploits que se aprovechan de las vulnerabilidades recientemente anunciadas en máquinas sin parches.

Se eligió el martes como el día óptimo de la semana para distribuir parches de software. Esto se hace para maximizar la cantidad de tiempo disponible antes del próximo fin de semana para corregir cualquier problema que pueda surgir con esos parches, dejando el lunes libre para abordar otros problemas inesperados que puedan haber surgido durante el fin de semana anterior ^{[ cita requerida ]} .

Implicaciones de seguridad

Una implicación de seguridad obvia es que los problemas de seguridad que tienen solución no se hacen públicos hasta por un mes. Esta política es adecuada cuando la vulnerabilidad no es ampliamente conocida o es extremadamente oscura, pero no siempre es así.

Ha habido casos en los que la información sobre vulnerabilidades se hizo pública o en los que circularon gusanos reales antes del próximo martes de parches programado. En casos críticos, Microsoft publica los parches correspondientes a medida que están listos, lo que alivia el riesgo si se buscan e instalan actualizaciones con frecuencia.

En el evento Ignite 2015, Microsoft reveló un cambio en la distribución de parches de seguridad. Lanzan actualizaciones de seguridad para PC, tabletas y teléfonos domésticos tan pronto como estén listas, mientras que los clientes empresariales permanecerán en el ciclo de actualización mensual, que fue reelaborado como Windows Update for Business. ^[12]

Explotar el miércoles

Muchos eventos de explotación se observan poco después del lanzamiento de un parche; ^{[13] El} análisis del parche ayuda a los desarrolladores de exploits a aprovechar inmediatamente la vulnerabilidad no revelada anteriormente, que permanecerá en los sistemas sin parches. ^[14] Por lo tanto, se acuñó el término "miércoles de explotación". ^[15]

Versiones de Windows descatalogadas

Microsoft advirtió a los usuarios que suspendería el soporte para Windows XP a partir del 8 de abril de 2014; los usuarios que ejecutaran Windows XP posteriormente correrían el riesgo de sufrir ataques. Como los parches de seguridad de las versiones más recientes de Windows pueden revelar vulnerabilidades similares (o las mismas) ya presentes en versiones anteriores de Windows, esto puede permitir ataques a dispositivos con versiones de Windows no compatibles (cf. " ataques de día cero "). Sin embargo, Microsoft dejó de corregir tales (y otras) vulnerabilidades en versiones de Windows no compatibles, independientemente de cuán conocidas se volvieron, dejando a los dispositivos que ejecutan estas versiones de Windows vulnerables a ataques. Microsoft hizo una excepción singular durante la rápida propagación del ransomware WannaCry y lanzó parches en mayo de 2017 para Windows XP, Windows 8 y Windows Server 2003, que en ese momento no eran compatibles (además de las versiones de Windows compatibles en ese momento). ^[dieciséis]

Para Windows Vista, el "soporte extendido" finalizó el 11 de abril de 2017, lo que dejará sin corregir las vulnerabilidades descubiertas posteriormente, creando la misma situación para Vista que antes para XP. ^[17]

Para Windows 7 (incluido el Service Pack 1), el soporte finalizó el 14 de enero de 2020 ^[17] y el 10 de enero de 2023 para Windows 8.1 ; ^[17] esto causará el mismo problema de "vulnerabilidades no reparadas" para los usuarios de estos sistemas operativos. El soporte para Windows 8 ya finalizó el 12 de enero de 2016 (y los usuarios tuvieron que instalar Windows 8.1 o Windows 10 para continuar recibiendo soporte), y el soporte para Windows 7 sin SP1 finalizó el 9 de abril de 2013 (con la posibilidad de instalar SP1 para continuar). para obtener soporte hasta 2020, o tener que instalar Windows 8.1 o Windows 10 para recibir soporte después de 2020). ^[17]

Ventanas 10 y 11

A partir de Windows 10 , Microsoft comenzó a publicar actualizaciones de funciones de Windows dos veces al año. Estas versiones trajeron nuevas funcionalidades y se rigen por la política de ciclo de vida moderna de Microsoft, que especifica un período de soporte de 18 a 36 meses. Esto contrasta con las versiones anteriores de Windows, que sólo recibían actualizaciones poco frecuentes a través de service packs y cuyo soporte se regía por la política de ciclo de vida fijo. Con el lanzamiento de Windows 11 , tanto Windows 10 como 11 comenzaron a recibir actualizaciones anuales de funciones en la segunda mitad del año.

Una vez que finaliza el período de soporte de una versión, los dispositivos deben actualizarse a la última actualización de funciones para poder recibir actualizaciones de Microsoft. Como tal, para las ediciones Home y Pro de Windows 10 y 11, la última versión de Windows se descarga e instala automáticamente cuando el dispositivo se acerca a la fecha de finalización de soporte.

Además de las ediciones comúnmente utilizadas como Home y Pro, Microsoft ofrece versiones especializadas del Canal de servicio a largo plazo (LTSC) de Windows 10 con plazos de soporte más prolongados, regidos por la política de ciclo de vida fijo de Microsoft. Por ejemplo, Windows 10 Enterprise 2016 LTSB recibirá soporte extendido hasta el 13 de octubre de 2026, ^[18] y Windows 10 LTSC 2019 recibirá soporte extendido hasta el 9 de enero de 2029. ^[19]

Adopción por otras empresas

El "Día del parche de seguridad" de SAP , cuando la compañía aconseja a los usuarios que instalen actualizaciones de seguridad, se eligió para que coincidiera con los martes de parches. ^{[20] El calendario de actualizaciones de} Adobe Systems para Flash Player desde noviembre de 2012 también coincide con el martes de parches. ^[21] Una de las razones de esto es que Flash Player viene como parte de Windows a partir de Windows 8 y las actualizaciones de Flash Player para la versión integrada y la basada en complementos deben publicarse al mismo tiempo para evitar la inversión. -amenazas de ingeniería. Las actualizaciones trimestrales de Oracle coinciden con el martes de parches. ^[22]

Impacto del ancho de banda

Windows Update utiliza el Servicio de transferencia inteligente en segundo plano (BITS) para descargar las actualizaciones, utilizando el ancho de banda de red inactivo. ^[23] Sin embargo, BITS utilizará la velocidad informada por la interfaz de red (NIC) para calcular el ancho de banda. Esto puede provocar errores en el cálculo del ancho de banda, por ejemplo, cuando un adaptador de red rápido (p. ej., 10 Mbit/s) se conecta a la red a través de un enlace lento (p. ej., 56 kbit/s); según Microsoft, "BITS competirá por todo el ancho de banda [de la NIC]... BITS no tiene visibilidad del tráfico de la red más allá del cliente". ^[24]

Además, los servidores Windows Update de Microsoft no respetan la estrategia de control de congestión de inicio lento de TCP . ^[25] Como resultado, otros usuarios en la misma red pueden experimentar conexiones significativamente más lentas desde las máquinas que recuperan activamente las actualizaciones. Esto puede ser particularmente notable en entornos donde muchas máquinas recuperan actualizaciones individualmente a través de un enlace compartido con ancho de banda limitado, como los que se encuentran en muchos hogares con varias PC y en pequeñas y medianas empresas. Las demandas de ancho de banda para parchear una gran cantidad de computadoras se pueden reducir significativamente implementando Windows Server Update Services (WSUS) para distribuir las actualizaciones localmente.

Además de las actualizaciones que se descargan de los servidores de Microsoft, los dispositivos Windows 10 pueden "compartir" actualizaciones de igual a igual con otros dispositivos Windows 10 en la red local, o incluso con dispositivos Windows 10 en Internet. Potencialmente, esto puede distribuir actualizaciones más rápido y al mismo tiempo reducir el uso de redes con una conexión medida. ^{[26] [27]}

Ver también

• Historia de Microsoft Windows
• Divulgación completa (seguridad informática)

Referencias

1. Wilcox, John (2018). "Cadencia de servicio de actualizaciones de Windows 10". Microsoft.
2. "Actualizaciones de agosto para Windows 8.1 y Windows Server 2012 R2". Blog de experiencia de Windows . Consultado el 25 de noviembre de 2015 .
3. "Martes de parches de abril de 2020: Microsoft corrige tres vulnerabilidades explotadas activamente". Ayuda a la seguridad de la red . 2020-04-14 . Consultado el 12 de octubre de 2020 .
4. "Microsoft Patch Tuesday para apuntar a Windows, IE". CNET. 10 de octubre de 2011 . Consultado el 9 de noviembre de 2011 .
5. "Versiones de mantenimiento de .NET Framework 1.1 en Windows Update para sistemas de 64 bits". Microsoft. 28 de marzo de 2006. Archivado desde el original el 27 de marzo de 2012 . Consultado el 8 de noviembre de 2011 .
6. "Comprensión de la actualización automática de Windows". Microsoft: comprensión de Windows: obtenga ayuda . Consultado el 3 de julio de 2014 .
7. Budd, Cristóbal. "Diez años de martes de parches: por qué es hora de seguir adelante". GeekWire . Consultado el 28 de julio de 2015 .
8. "¿Cuándo publica Microsoft actualizaciones de seguridad?". MSRC de Microsoft .
9. "Actualizaciones del martes de parches para Windows y Office: lo que necesita saber". Empresa Hewlett Packard . Consultado el 15 de febrero de 2022 .
10. "Microsoft detalla el nuevo plan de seguridad". Noticias.cnet.com . Consultado el 12 de febrero de 2013 .
11. Paul Oliveria (Trend Micro Technical Communications) (4 de octubre de 2006). "Martes de parches... Miércoles de explotación". Blog.trendmicro.com . Consultado el 9 de febrero de 2016 .
12. "La bomba de Windows 10: Microsoft eliminará el parche del martes". allíregister.co.uk . Consultado el 25 de noviembre de 2015 .
13. "Explotar el miércoles". después del amanecer.com . Consultado el 25 de noviembre de 2015 .
14. Kurtz, George (14 de enero de 2010). La "Operación" Aurora "llegó a Google, a otros". mcafee.com. Archivado desde el original el 17 de enero de 2012 . Consultado el 12 de agosto de 2014 .{{cite web}}: Mantenimiento CS1: bot: estado de la URL original desconocido ( enlace )
15. Leffall, Jabulani (12 de octubre de 2007). "¿Los parches conducen a exploits?". Revista Redmond . Consultado el 25 de febrero de 2009 .
16. "Orientación al cliente sobre ataques de WannaCrypt". MSRC . Consultado el 23 de noviembre de 2017 .
17. "Hoja informativa sobre el ciclo de vida de Windows". Microsoft. 2015-08-31 . Consultado el 31 de agosto de 2015 .
18. "Windows 10 2016 LTSB: ciclo de vida de Microsoft". Documentos de Microsoft . Consultado el 22 de agosto de 2021 .
19. "Windows 10 LTSC 2019: ciclo de vida de Microsoft". Documentos de Microsoft . Consultado el 22 de agosto de 2021 .
20. von Etizen, Chris (15 de septiembre de 2010). "SAP introduce un día de parche". La Seguridad H. Archivado desde el original el 11 de agosto de 2011 . Consultado el 7 de enero de 2013 .
21. McAllister, Neil (8 de noviembre de 2012). "Adobe cambia el calendario de corrección de Flash a los martes de parches". El registro . Consultado el 7 de enero de 2013 .
22. "Oracle aborda 405 errores masivos en su actualización trimestral del parche de abril". Threatpost.com . Consultado el 12 de octubre de 2020 .
23. "Acerca de BITS". MSDN . Microsoft . Consultado el 26 de marzo de 2016 .
24. stevewhims (19 de agosto de 2020). "Ancho de banda de red: aplicaciones Win32". aprender.microsoft.com . Consultado el 22 de diciembre de 2023 .
25. Fuerte, Ben (25 de noviembre de 2010). "Google y Microsoft hacen trampa con el inicio lento". benstrong.com. Archivado desde el original (blog) el 7 de diciembre de 2013.
26. Warren, Tom (15 de marzo de 2015). "Microsoft entregará actualizaciones de Windows 10 utilizando tecnología de igual a igual". El borde . Medios Vox .
27. Chacos, Brad (3 de agosto de 2015). "Cómo evitar que Windows 10 utilice el ancho de banda de su PC para actualizar los sistemas de extraños". Mundo PC . IDG .

Otras lecturas

• Evers, Joris (9 de septiembre de 2005). "Microsoft realiza una actualización 'crítica' de Windows". CNET News.com . Consultado el 12 de diciembre de 2006 .
• Schneier, Bruce (17 de julio de 2006). "Vulnerabilidad de día cero en Microsoft PowerPoint". Schneier sobre seguridad .Ejemplo de informe sobre una vulnerabilidad encontrada en la naturaleza con un momento aparentemente coordinado con el "Martes de parches"
• Schneier, Bruce (7 de septiembre de 2006). "Microsoft y FairUse4WM". Schneier sobre seguridad .Ejemplo de respuesta rápida a un parche, no por un problema de seguridad sino por motivos relacionados con DRM.

enlaces externos

• Cuenta regresiva del martes del parche de Microsoft
• Boletín de seguridad de Microsoft