Um patch out-of-band é um patch lançado em algum momento que não seja o tempo normal de lançamento. A Microsoft, por exemplo, normalmente lança os patches na segunda terça-feira de cada mês. Um patch, às vezes chamado de "correção", é um trabalho de reparo rápido para uma peça de programação.
A razão usual para o lançamento de um patch fora da banda é o aparecimento de um exploit inesperado, difundido e destrutivo como um vírus, worm, ou Trojan que provavelmente afetará um grande número de usuários de Internet. Um bom exemplo é um chamado exploit de dia zero, que aproveita uma falha de segurança no mesmo dia em que a vulnerabilidade se torna geralmente conhecida, de modo que não existe tempo decorrido (zero dias) entre a descoberta da vulnerabilidade e o primeiro ataque que vem como resultado da mesma.
Ao decidir se deve ou não lançar um patch fora da banda, os fornecedores de software levam vários factores em conta, fazendo-se perguntas como as seguintes.
- Este evento em particular é suficientemente sério para garantir a libertação de um patch fora do ciclo normal?
- Quão generalizado é o ataque? Quantas pessoas podem sofrer efeitos adversos se não liberarmos um patch imediatamente?
- Tal vulnerabilidade ocorreu suficientemente perto da data normal de liberação para que seja razoável esperar até lá para liberar o patch?
- O desenvolvimento apressado e o lançamento de um patch rápido perturbará provavelmente a funcionalidade do programa, talvez produzindo mais problemas do que resolve?
- É a ameaça estável, ou está evoluindo (ou provavelmente evoluindo) dia após dia?