Microsoft si appresta a rivedere ancora una volta il funzionamento degli aggiornamenti distribuiti attraverso Windows Update. Entro fine 2024 debutteranno i nuovi aggiornamenti cumulativi di tipo checkpoint: si tratta di pacchetti che includono correzioni di sicurezza e nuove funzionalità tramite l’applicazione di update incrementali a livello di codice. Gli aggiornamenti checkpoint includono soltanto le modifiche aggiunte da Microsoft a partire dal precedente checkpoint.

L’obiettivo è quello di far risparmiare agli utenti Windows larghezza di banda, spazio su disco e tempo impiegato per scaricare e installare gli aggiornamenti di ogni mese. Ricordiamo, infatti, che Microsoft rilascia un aggiornamento cumulativo ogni secondo martedì del mese (Patch Tuesday).

Aggiornamenti checkpoint al debutto in Windows 11 e Windows Server 2025

I tecnici della società guidata da Satya Nadella spiegano che gli utenti di Windows 11 24H2 e Windows Server 2025 inizieranno a ricevere gli aggiornamenti cumulativi di tipo checkpoint senza fare nulla. La novità sarà insomma automaticamente attivata su tutte le installazioni dei più recenti sistemi operativi consumer e server.

L’introduzione dei checkpoint è attesa entro la fine dell’anno, anche perché l’atteso feature update Windows 11 24H2 non arriverà, in versione finale, prima di settembre-novembre 2024.

Una volta introdotti, Microsoft afferma che prevede di rilasciare periodicamente aggiornamenti cumulativi sotto forma di checkpoint. L’azienda ripeterà il processo più volte per ogni versione di Windows, generando così diversi checkpoint durante il ciclo di vita del sistema operativo.

I checkpoint di aggiornamento appariranno, secondo Microsoft, come normali patch mensili. Gli amministratori di sistema e gli utenti potranno continuare a usare gli stessi strumenti e processi abitualmente utilizzati per approvare e distribuire le patch.

A partire da Windows 11 24H2, lo stack di manutenzione (chiamato anche Servicing Stack Update, SSO) sarà in grado di unire il contenuto dei vari checkpoint per garantire che solo il contenuto mancante sia scaricato e installato sul computer in uso.

Bisogna insistere sull’hotpatching più che sui checkpoint

C’è un problema di fondo che Microsoft sembra ignorare. Da tempo, l’azienda di Redmond ha virato sugli aggiornamenti cumulativi, pacchetti di update che contengono tutte le patch di sicurezza del mese e quelle precedenti. Questo significa che installando l’ultimo aggiornamento cumulativo, il sistema Windows viene aggiornato con tutte le correzioni e le patch di sicurezza rilasciate fino a quel momento, senza dover installare singolarmente gli aggiornamenti pregressi.

Può sembrare un grosso vantaggio, e in molti frangenti lo è certamente. Tuttavia, in molti casi può presentarsi l’esigenza di correggere in breve tempo una singola vulnerabilità oppure una manciata di esse. Perché costringere gli utenti a scaricare e installare un intero (e pesante) aggiornamento cumulativo?

I checkpoint risolvono in parte il problema ma gli utenti dovrebbero comunque essere messi nelle condizioni di applicare una singola patch a correzione dello specifico problema di sicurezza.

Microsoft consente di farlo solamente per alcune patch e di solito solo sui sistemi Windows Server. Questa possibilità dovrebbe essere estesa all’intero insieme di aggiornamenti e, inoltre, si dovrebbe permettere di applicare le correzioni in memoria, senza la necessità di riavviare Windows. Un approccio vincente che si chiama hotpatching e che è attivamente utilizzato da 0patch.

Anche l’azienda fondata da Bill Gates e Paul Allen sta adottando la medesima soluzione: le patch a caldo evitano il riavvio di Windows ma al momento sono prerogativa esclusiva dei sistemi Windows Server più recenti.

Credit immagine in apertura: Microsoft