周二補丁日

周二補丁日（英語：Patch Tuesday）也稱補丁星期二、星期二更新（Update Tuesday^[1]）等，它是一個在行業內被廣泛使用的非正式術語，指微軟定期發佈其軟件產品的更新補丁^[2][3][4]。微軟於2003年10月正式開始了此模式^[5]。

周二補丁日發生在每個月第二周（有時是第四周）的周二，於UTC時間18:00或17:00開始，經由Windows Update推送給用戶。同時，補丁會被發布至微軟網站上，微軟知識庫和Technet公告也會隨之更新。

微軟有一種習慣，會在偶數月份發布更多的更新，相應奇數月份的更新會更少。^[6][7][8]少數更新也會在周二補丁日之外被發布。某些更新，例如Microsoft Defender的病毒庫更新則會每天發布。有時候，在一次常規的周二補丁日之後會有一次額外的周二補丁日。另外一些更新則可能隨時會被發布。^[9]

歷史

從Windows 98開始，微軟集成了 Windows Update，它將檢查微軟不定期發布的 Windows 的補丁。除此之外，它還會檢查其他微軟產品的補丁，如Microsoft Office、Visual Studio和SQL Server等。

早期版本的Windows Update存在兩個問題：

    1.經驗不足的用戶通常不會意識到Windows Update並且沒有安裝它。 微軟在Windows ME中使用自動更新組件解決了此問題，該組件顯示了更新的可用性，並提供了自動安裝選項。

    2.擁有多個Windows副本的客戶（例如企業用戶）不僅必須更新公司中的每個Windows部署，還要卸載微軟發布的破壞現有功能的補丁。

微軟於2003年10月推出了「補丁星期二」，以降低分發補丁的成本^[10]。該系統每月發布累積安全補丁，並在每個月的第二個星期二推送所有補丁，這是為了系統管理員準備的事件。 第二天，被非正式地稱為「漏洞星期三」，^[11]標誌着屆時漏洞將可能大量利用未安裝安全補丁的電腦。

周二被選為分發軟件補丁的最佳日期。 這樣做是為了最大限度地延長即將到來的周末之前的可用時間，以糾正這些補丁可能出現的任何問題，同時騰出周一解決上周末可能出現的其他意外問題。

安全影響

一個明顯的安全隱患是，有一個解決方案的安全問題被公眾拒絕長達一個月。當漏洞未廣為人知或輕微時，此政策就足夠了，但情況並非總是如此。有些情況下，漏洞信息已泄露或實際蠕蟲在下一個計劃的補丁星期二之前流行。在關鍵情況下，微軟會在準備好時發布相應的修補程序，以便在檢查並經常安裝更新時降低風險。

在「點亮 2015」活動中，微軟公布了分發安全補丁的變化。他們準備好後立即發布家用電腦，平板電腦和手機的安全更新，而企業客戶將保持每月更新周期，並將其更新為Windows Update for Business^[12]。

周三漏洞利用事件

補丁發布後不久就會出現許多漏洞利用事件^[13] ,對補丁的分析有助於利用開發人員立即利用之前未公開的漏洞，該漏洞將保留在未修補的系統中。^[14]因此，「利用星期三」這個詞被創造出來。^[15]

微軟已停止技術支持的Windows版本

微軟警告用戶，自2014年4月8日起停止對Windows XP的支持 - 之後運行Windows XP的用戶將面臨被黑客攻擊的風險。由於較新的Windows版本的安全補丁可以揭示新版本和舊版本中存在的類似（或相同）漏洞，因此可以允許攻擊具有不受支持的Windows版本的設備（例如「零日攻擊」）。然而，微軟已停止在不受支持的Windows版本中修復此類（和其他）漏洞，無論這些漏洞的廣泛傳播如何，這些漏洞都不固定，運行這些Windows版本的設備容易受到攻擊。微軟在WannaCry勒索軟件迅速傳播期間做了唯一的一次例外，於2017年5月發布了針對當時不支持的Windows XP，Windows 8和Windows Server 2003（除了當時支持的Windows版本）之外的補丁。^[16]

對於Windows Vista，「擴展支持」已於2017年4月11日結束，這將使之後發現的漏洞保持不固定，從而為Vista創建與之前相同的情況。^[17]

對於Windows 7（帶有Service Pack 1），支持將於2020年1月14日^[18]和2023年1月10日結束，對於Windows 8.1， 這將導致這些操作系統的用戶出現相同的「未修復的漏洞」問題。對Windows 8的支持已於2016年1月12日結束（用戶必須安裝Windows 8.1或Windows 10以繼續獲得支持），並且對不帶SP1的Windows 7的支持已於2013年4月9日結束（能夠安裝SP1以繼續獲得支持直到2020年，或者必須安裝Windows 8.1或Windows 10才能在2020年之後獲得支持。）

Windows 10/11

隨着Windows 10的推出，一個重大變化是微軟開始每年兩次發布新版本的Windows 10（Windows 11發佈後改為每年1次），並且隨着微軟的「現代系統生命周期政策」，新發布的Windows 10版本開始了以前版本的「寬限期」。 關於支持 - 不同於以前只通過Service Pack接收不頻繁更新的Windows產品，並且支持受「固定生命周期策略」的約束。有了這個新政策，Windows 10的家庭版和專業版將在發布後的18個月內提供安全更新和功能更新（所謂的「主流支持」）企業版和教育版將在發布後的24個月內提供安全和功能更新。^[17]

舉個例子：微軟將於2018年10月停止支持Windows 10 家庭版 / 專業版1703（2017年4月發布），對版本1507和1511（2015年發布）的支持將於2017年正式結束^[19]。微軟宣布，它將為至少一個「半年度頻道」（SAC）Windows 10版本提供「擴展支持」（只提供安全更新但不提供功能更新），直到2025年10月14日結束。^[20]

根據微軟的說法，「設備需要在[當前版本]到達服務終結之前安裝最新版本（功能更新），以幫助保持您的設備安全，並保持微軟的支持"。^[17]與以前的Windows操作系統一樣，運行此類不受支持的Windows版本（不再接收安全補丁）的任何設備都可能受到「支持終止」日期開始的「未修復漏洞」問題的影響。為了解決這個問題，微軟已經為Windows 10/11的家庭版和專業版設計了更新系統，因此在大多數情況下，如果技術上可行的話，最新的Windows版本會自動下載和安裝 - 但是由於強制升級等其他問題受到了批評。

其他公司採用的補丁

當公司建議用戶安裝安全更新時，SAP公司的「安全補丁日」被選中與補丁星期二一致。^[21]自2012年11月起，Adobe Systems的Flash Player更新時間表也與補丁星期二相吻合。^[22] 其中一個原因是Flash Player作為Windows的一部分從Windows 8開始，內置的Flash Player更新和基於插件的版本都需要同時發布，以防止逆向工程威脅。

例外

• 每天更新：Microsoft Defender的更新。
• 一般緊急補丁：在定期補丁後14天釋出。
• 非常緊急補丁：不定期釋出。

參考資料

1. August updates for Windows 8.1 and Windows Server 2012 R2. Windows Experience Blog. [25 November 2015]. （原始內容存檔於2015-09-06）. 
2. Microsoft Patch Tuesday to target Windows, IE. CNet. October 10, 2011 [November 9, 2011]. （原始內容存檔於2012-11-04）. 
3. .NET Framework 1.1 Servicing Releases on Windows Update for 64-bit Systems. Microsoft. March 28, 2006 [November 8, 2011]. （原始內容存檔於2012年3月27日）. 
4. Understanding Windows automatic updating. Microsoft — Understanding Windows — Get Help. [July 3, 2014]. （原始內容存檔於2016-06-22）. 
5. Budd, Christopher. Ten Years of Patch Tuesdays: Why It’s Time to Move On. GeekWire. [28 July 2015]. （原始內容存檔於2021-09-25）. 
6. Gregg Keizer. Microsoft slates hefty Patch Tuesday, to fix 34 flaws next week. Computerworld. 9 June 2011 [25 November 2015]. （原始內容存檔於2014-04-20）. 
7. Microsoft Ready To Patch 34 Security Vulnerabilities. ITProPortal. [25 November 2015]. （原始內容存檔於2021-09-25）. 
8. Gregg Keizer. Microsoft to patch critical Windows Server vulnerability. Techworld. [25 November 2015]. （原始內容存檔於2011-06-24）. 
9. Patch Tuesday: WM 6.1 SMTP fix released!. Microsoft — Outlook Mobile Team Blog. November 11, 2008 [November 9, 2011]. （原始內容存檔於2012-07-08）. 
10. Microsoft details new security plan. 2003-10-09. （原始內容存檔於2020-10-27） （英語）. 
11. Patch Tuesday… Exploit Wednesday. 2006-10-04. （原始內容存檔於2021-01-27） （英語）. 
12. Windows 10 bombshell: Microsoft to KILL OFF Patch Tuesday. 2015-05-04. （原始內容存檔於2020-04-12） （英語）. 
13. Exploit Wednesday. 2019-07-30. （原始內容存檔於2021-01-09） （英語）. 
14. George Kurtz. Operation “Aurora” Hit Google, Others. 2010-01-14. 原始內容存檔於2012-01-17 （英語）. 
15. Are Patches Leading to Exploits?. （原始內容存檔於2020-09-26） （英語）. 
16. Customer Guidance for WannaCrypt attacks. 2017-05-12. （原始內容存檔於2019-05-24） （英語）. 
17. Windows lifecycle fact sheet. （原始內容存檔於2017-04-24） （英語）. 
18. Windows lifecycle fact sheet. （原始內容存檔於2017-04-24）. 
19. Windows 10 v1507 End of Servicing for CB and CBB. Microsoft. 2018-07-21. （原始內容存檔於2019-11-08） （英語）. 
20. product lifecycle. （原始內容存檔於2019-01-09） （英語）. 
21. SAP introduces a patch day. 2010-09-15. 原始內容存檔於2011-08-11 （英語）. 
22. Adobe switches Flash fix schedule to Patch Tuesdays. 2012-11-08. （原始內容存檔於2019-08-02） （英語）.