Patch Tuesday

Kapan Patch Tuesday Dirilis?

Patch Tuesday dirilis setiap bulan pada hari Selasa kedua pukul 10 pagi waktu Pasifik (sekitar jam 5 sore UTC). Hari ini dipilih agar admin sistem punya waktu khusus untuk mempersiapkan instalasi pembaruan.

Sebelum tahun 2016, admin bisa memilih untuk menginstal patch tertentu saja. Tapi sejak diperkenalkannya model pembaruan kumulatif di Windows 10, semua update—baik yang bersifat keamanan maupun non-keamanan—dikemas dalam satu paket bulanan.

Dengan pendekatan ini, pengguna tidak bisa lagi memilih update mana yang mau dipasang. Sebaliknya, mereka hanya bisa mengatur urutan implementasinya. Kalau ada masalah besar yang tidak bisa diatasi, satu-satunya solusi adalah melakukan rollback terhadap seluruh pembaruan kumulatif hingga Microsoft mengeluarkan perbaikan.

Pada setiap Patch Tuesday, Microsoft merilis yang disebut sebagai B release, yaitu kumpulan update keamanan dan keandalan bulanan. Ada juga C release yang merupakan pratinjau update non-keamanan dan biasanya dirilis di minggu ketiga atau keempat tiap bulan. C release ini bisa dipakai admin untuk uji coba sebelum update resmi muncul di Patch Tuesday berikutnya.

Perusahaan lain seperti Oracle dan Adobe juga menyesuaikan jadwal patch mereka agar selaras dengan Patch Tuesday milik Microsoft.

Kenapa Patch Itu Penting?

Melakukan patch secara rutin punya berbagai keuntungan, seperti:

• Memperbaiki masalah software, termasuk bug, celah keamanan, dan isu kompatibilitas.
• Menjaga software tetap update dan berjalan dengan baik.
• Menambahkan fitur-fitur baru.

Patch juga memberikan perlindungan dari berbagai jenis kerentanan keamanan seperti:

• Denial of Service (DoS)
• Elevation of Privilege
• Remote Code Execution (RCE)
• IP Spoofing

Microsoft sangat menyarankan agar pengguna segera menginstal update keamanan yang mereka rilis. Soalnya, hacker biasanya langsung menganalisis isi patch tersebut untuk mencari celah yang bisa dimanfaatkan buat bikin malware baru.

Agar patch tidak menimbulkan masalah baru, tim IT perlu menerapkan manajemen patch yang baik. Salah satu praktik terbaiknya adalah melakukan uji coba terlebih dahulu, misalnya melalui pilot group, sebelum patch diterapkan ke seluruh sistem produksi.

Tapi harus diakui, patch juga bisa menimbulkan bug atau crash. Karena itulah, hari Rabu setelah Patch Tuesday kadang dijuluki “Crash Wednesday”—hari di mana tim IT sibuk memperbaiki error yang muncul gara-gara patch hari Selasa 😅.

Bagaimana Microsoft mendistribusikan patch?

Microsoft mendeskripsikan pembaruan bulanan mereka untuk Windows sebagai quality update yang mencakup perbaikan keamanan, pembetulan bug, dan penyempurnaan fitur. Semua pembaruan ini—baik yang bersifat keamanan maupun bukan—digabungkan dalam satu paket pembaruan bulanan yang kemudian didistribusikan lewat empat cara berikut:

1. Windows Update
2. Windows Server Update Services (WSUS)
3. System Center Configuration Manager (SCCM)
4. Microsoft Update Catalog

Pada beberapa masa, Microsoft juga merilis update keamanan untuk aplikasi pihak ketiga. Salah satu yang paling terkenal adalah Adobe Flash Player, waktu software ini masih berada di bawah dukungan resmi dari Adobe.

Apa saja yang dirilis saat Patch Tuesday?

Update keamanan yang dirilis Microsoft di Patch Tuesday utamanya ditujukan untuk produk, fitur, dan peran dari software buatan Microsoft. Tapi kadang juga mencakup aplikasi yang jalan di perangkat Apple dan Android.

Microsoft menggunakan sistem penilaian tingkat keparahan untuk patch-nya, dengan kategori: Critical, Important, Moderate, dan Low. Patch kategori Critical ditujukan untuk celah keamanan yang bisa dieksploitasi tanpa tindakan dari pengguna—misalnya lewat worm yang menyebar otomatis. Sementara Important butuh interaksi dari pengguna, misalnya membuka file berbahaya dari email.

Kalau ada celah keamanan yang sudah aktif dieksploitasi tapi belum ada patch-nya, itu disebut zero-day exploit. Artinya, celahnya sudah dimanfaatkan oleh peretas sebelum Microsoft sempat merilis perbaikan. Dalam kasus begini, Microsoft biasanya akan memberikan petunjuk mitigasi sementara—misalnya menyarankan perubahan di registry Windows—sambil menyiapkan patch resminya.

Update keamanan dari Microsoft bisa berlaku untuk banyak jenis software, termasuk:

• Komponen dalam sistem operasi Windows
• Aplikasi di smartphone dan tablet
• Proyek software open source

Beberapa produk dan fitur yang biasanya dapat pembaruan keamanan saat Patch Tuesday antara lain:

• Azure Open Management Infrastructure
• Microsoft Business Central
• Microsoft Accessibility Insights for Android
• Microsoft Defender for IoT
• Microsoft Edge untuk Android
• Microsoft Office
• Microsoft Windows Codecs Library
• Microsoft Windows Domain Name System (DNS)
• Visual Studio
• Windows BitLocker
• Windows Common Log File System Driver
• Event Tracing for Windows
• Windows Installer
• Windows Kernel
• Windows Print Spooler Components
• Windows Scripting

Biasanya, Microsoft akan menghentikan distribusi update keamanan setelah masa dukungan (end of life) suatu produk berakhir. Tapi, ada pengecualian. Pada tahun 2017, Microsoft sempat melanggar kebiasaan ini dan merilis patch untuk OS yang sudah tidak didukung—seperti Windows XP, Windows 8, dan Windows Server 2003—demi melindungi sistem dari serangan WannaCry dan varian ransomware EternalBlue.

Apa itu out-of-band patch?

Out-of-band patch adalah patch yang dirilis di luar jadwal rutin Patch Tuesday. Patch jenis ini dirilis secara mendesak untuk mengatasi celah keamanan kritis yang tidak bisa ditunda.

Misalnya, jika ada zero-day exploit yang menyebar luas dan mengancam banyak sistem, Microsoft akan merilis out-of-band patch beserta advisory-nya agar pengguna segera mengambil tindakan. Jika patch-nya terkait Windows, maka patch tersebut nantinya tetap akan dimasukkan dalam update kumulatif di Patch Tuesday selanjutnya.

Perubahan Patch Tuesday dan Windows 10

Pada Maret 2017, Microsoft mulai menggunakan Security Update Guide sebagai sumber utama informasi pembaruan keamanan. Panduan ini fokus pada CVE (Common Vulnerabilities and Exposures) yang menjadi target perbaikan, tanpa tergantung pada produk spesifik. Selain itu, Microsoft juga memperkenalkan antarmuka pemrograman aplikasi (API) baru buat pengguna yang ingin mengotomatisasi sebagian pekerjaan terkait Patch Tuesday.

Microsoft juga mengembangkan sebuah modul PowerShell bernama MsrcSecurityUpdates yang bisa digunakan bareng API tersebut buat mengakses data pembaruan keamanan. Modul ini cocok buat tugas-tugas seperti bikin laporan otomatis.

Pengguna Windows 10 juga punya opsi buat menjeda pembaruan kualitas (quality updates) satu kali selama maksimal 35 hari.

Di mana bisa lihat detail pembaruan Patch Tuesday?

Kamu bisa lihat ringkasan pembaruan keamanan Patch Tuesday setiap bulannya di halaman release notes Microsoft Security Update Guide.

Security Update Guide ini mencantumkan semua update keamanan dalam rentang tanggal tertentu. Di dalamnya, kamu bakal nemu informasi seperti tanggal rilis, produk yang terdampak, dampak celah keamanan, tingkat keparahannya, hingga link buat download patch-nya. Juga tersedia link ke artikel Microsoft Knowledge Base dan detail CVE untuk tiap patch.

Salah satu tempat terbaik buat dapetin info soal Patch Tuesday adalah halaman FAQ Security Update Guide dari Microsoft. Informasi soal kebijakan dukungan update keamanan juga bisa kamu temukan di Lifecycle Product Database milik Microsoft.

Setiap kali ada update yang menyangkut keamanan pengguna, Microsoft bakal merilis pemberitahuan keamanan. Kalau kamu punya akun Microsoft, kamu bisa langganan notifikasi email. Selain itu, Microsoft juga kadang ngerilis security advisories—yaitu info penting soal keamanan meskipun belum tentu diklasifikasikan sebagai celah kerentanan.

Sejarah Patch Tuesday

Microsoft memperkenalkan Patch Tuesday pertama kali pada Oktober 2003 untuk menyederhanakan proses distribusi patch ke sistem pengguna.

Sebelum Security Update Guide diperkenalkan di November 2017, Microsoft biasanya merilis buletin keamanan di situs Security Advisories and Bulletins, yang merinci semua celah keamanan yang diperbaiki setiap bulan. Situs ini membagi info pembaruan ke dalam beberapa bagian: buletin keamanan, ringkasan buletin, advisories, dan pengakuan kontribusi dari peneliti keamanan.

Microsoft cukup konsisten dengan jadwal rilis bulanannya, sampai akhirnya pada Februari 2017 mereka membatalkan rilis Patch Tuesday secara mendadak—ini adalah pertama kalinya hal itu terjadi. Meskipun Microsoft nggak mengungkap apa masalahnya, banyak yang menduga hal itu berkaitan dengan bocornya eksploit Windows milik NSA (Badan Keamanan Nasional Amerika Serikat). Eksploit tersebut dicuri dan akhirnya dibocorkan oleh kelompok hacker Shadow Brokers. Konon katanya, NSA sempat memberi tahu Microsoft sebelum eksploit itu tersebar. Microsoft pun kemudian merilis patch untuk beberapa celah kritis itu di Patch Tuesday Maret 2017.

Di tahun yang sama, Microsoft juga mengubah nama, tampilan, dan fungsi dari situs buletin keamanannya, dan meluncurkan situs baru dengan nama Security Update Guide. Format buletin lama yang panjang diganti dengan sistem pencarian dan filter berdasarkan rentang tanggal, produk, tingkat keparahan, dan sebagainya.

Sekarang, pengguna bisa dengan mudah melakukan pencarian, menyaring, dan mengekspor data laporan ke Excel. Kita juga bisa langsung tahu apakah suatu celah sedang aktif dieksploitasi atau sudah diumumkan secara publik.