文 /楊耀仁
沒有完美的系統與程式!
特別是在擁有架構十分龐大的作業系統,或是複雜的軟體應用程式。雖然系統內的漏洞和軟體的瑕疵始終都存在,但比較容易被利用來搭配攻擊的,多半還是已被公開的漏洞。為了有效管理漏洞和軟體瑕疵,各大軟體及系統廠商紛紛定期或不定期地發布修補程式來修正這些問題。
一般來說,當作業系統以及軟體廠商發現程式錯誤或被公開的系統漏洞,便會提供用戶修補程式去修補這些問題。另一方面,駭客也可能會利用這些漏洞去非法入侵一些尚未安裝修補程式的系統。因此大部分軟體廠商在發現問題後,會發布安全性公報提醒使用者手動或自動下載放在他們的網站上的更新軟體及修補程式。
定期發布V.S.不定期發布
目前來說,軟體及系統廠商對於漏洞修補程式的發布主要可分為兩種模式:
第一種為不定期發布修補程式,主要為軟體廠商一發現軟體錯誤或漏洞,就會馬上對於此問題發布修補程式提供下載。這種不定期發布修補程式的好處在於
可以對系統漏洞和軟體缺陷及時修補,減少駭客攻擊的機會。然而,立即修補也有可能帶來負面影響。比方說在緊急情況下,立即安裝軟體系統廠商發布的修補程式,而未經足夠的驗證測試。這種情形可能會造成比修補前更多的問題,甚至影響到其他程式運作。系統因為更新而造成無法正常工作,也許這種情形可能提供安全,但是企業可能為此帶來嚴重的衝擊。
另一方面。一些大型的軟體系統廠商定期發布修補程式,規律的對其軟體錯誤或漏洞提供新的程式修補。此種情形帶來的好處提供高品質的修補程式並可以配合企業軟體更新政策,方便客戶可以提前準備所需的資源與制訂部署規劃。在客戶成功完成測試之後,才正式安裝套用修補程式。可能的缺點則在於軟體系統廠商定期公布修補程式之前,可能會有遭受外部威脅的機會。
因此,修補的兩難在於需要即時安裝修補程式來減低威脅,另一方面又需要測試驗證修補程式的可靠性。對企業來說加快部署修補程式並非解決的方法,定期且有效迅速地規劃穩定規律的修補升級政策,可以節省時間和金錢,減少錯誤和風險,進而改善整體安全性。
定期發布漏洞修補程式的廠商
根據2007年九月IBM ISS所發布的研究報導指出,2007上半年榮獲弱點數排行榜前三名的廠商,分別為微軟(Microsoft)、蘋果電腦(Apple)及甲骨文公司(Oracle)。我們可以來看看這些廠商的修補發布政策
首先介紹最先提供定期發布漏洞修補程式的廠商為全球普及率最高的微軟。由於最多人使用,其程式缺陷與安全漏洞難免會成為全球駭客及惡意程式的首要攻擊目標,所以微軟在2003年10月開始啟動定期修補機制,下列為微軟修補時程。
微軟定期公布更新時程:
微軟每月定時更新流程:
• 微軟在每月的第二個星期二早上10點太平洋時間(Pacific time),會在微軟網站張貼本月安全性公告並且提供修補程式下載,(台灣微軟會在星期三公告)。
例如:可在微軟下載中心下載相對應的Windows 及Office安全性重大更新
• 微軟安全警告(Security alerts) 和安全更新公告在同時會寄送郵件通知給有訂閱安全性通知服務的使用者。這些通知會在安全性公告和修補程式都發布後才會通知使用者。
•微軟也會對其他相關的安全廠商或組織提供相關安全更新資訊來幫助更多使用者了解軟體或系統弱點資訊。
•在發布安全性公告之後 微軟也會在Webcast網站上針對公布的弱點與修補資訊提供發問與回答(Q and A)。
再來介紹的是資料庫大廠甲骨文公司(Oracle)從2005年開始提供Oracle重大更新(Oracle Critical Patch Update)簡稱(CPU)來作為產品定期安全修補程式。主要目的在於給予使用者足夠的時間對於修補提供事前規劃。每季另外發布修補程式組,可以方便使用者安裝,而不需要一個一個安裝個別的修補程式。以有效節省時間和金錢,下列為Oracle修補時程資訊。
Oracle每季定期公布更新時程:
從2005年開始,Oracle重大更新網站對於Oracle產品發布安全修補程式提供使用者修補 。修補程式發布時間在於每年一月、四月、七月、十月接近15號的星期二發布。下面四個發布更新日為:
- 16 October 2007 10月16日
- 15 January 2008 1月15日
- 15 April 2008 四月15日
- 15 July 2008 七月15日
在公佈在Oracle重大更新前,會預先公告此訊息。
其他提供定期更新的廠商
Solaris
雖然不只是針對安全性修補,但 Solaris 10在2005年也取消了不定期累積更新的作法,將定期更新包裝成服務提供給用戶。
Solaris 10 的定期更新服務網址:http://www.sun.com/2004-1130/feature/
Apple
有趣的是,蘋果電腦公司今年恰好每月都發布安全更新,讓媒體不禁開始懷疑蘋果是否也要加入定期更新的行列。
Apple更新下載:http://www.apple.com/support/downloads/
讀者可以發現,其實提供定期安全更新的廠商並不多。Adobe之前也有宣告過想為旗下所有產品提供每月定期更新,但是不容易作。一方面是因為技術團的人力資源差異,一方面也是因為只有夠大的產品線才能提供足需每月更新的安全漏洞。不過雖然像微軟及甲骨文都提供定期發布漏洞修補程式模式,讓大部份使用者及企業系統有效的修補規劃管理,然而面對嚴重的零時差重大漏洞,廠商也會不定時發布緊急修補程式來降低威脅。例如:之前的微軟滑鼠游標的軟體弱點即打破每月定期發布修補程式的慣例,提前釋出更新程式以快速修補漏洞。另一方面,企業也可搭配入侵防禦系統所發布的虛擬補丁(Virtual Patch)技術,在軟體廠商發布修補程式前避免受到漏洞的攻擊。唯有使用者需要持續關注相關廠商公布的漏洞弱點,配合定期或不定期的修補漏洞與入侵防禦系統防禦,才能有效的降低漏洞所帶來的風險。
參考資料:
[1] Updating Applications & Operating Systems
http://www.trackernet.org/Archive/TRK_NWS_2005Q2.pdf
[2] Oracle On Demand Best Practices Critical Patch Update
[3] Monthly Patch Release Schedules: Do The Benefits Outweigh The Risks?
[4] A Practical Guide for Patch Testing