Een out-of-band patch is een patch die op een ander moment dan de normale releasetijd wordt uitgebracht. Microsoft, bijvoorbeeld, geeft normaal patches uit op de tweede dinsdag van elke maand. Een patch, soms een "fix" genoemd, is een snelle reparatie van een stuk programmering.
De gebruikelijke reden voor het uitbrengen van een out-of-band patch is het verschijnen van een onverwachte, wijdverspreide, destructieve exploit zoals een virus, worm, of Trojan die waarschijnlijk een groot aantal Internet gebruikers zal treffen. Een goed voorbeeld is een zogenaamde "zero-day"-exploit, waarbij gebruik wordt gemaakt van een veiligheidslek op dezelfde dag dat de kwetsbaarheid algemeen bekend wordt, zodat er geen tijd (nul dagen) verstrijkt tussen de ontdekking van de kwetsbaarheid en de eerste aanval die als gevolg daarvan plaatsvindt.
Bij de beslissing om al dan niet een out-of-band patch uit te brengen, houden softwareleveranciers rekening met verschillende factoren door zich vragen te stellen als:
- Is deze specifieke gebeurtenis ernstig genoeg om een patch buiten de normale cyclus uit te brengen?
- Hoe wijdverspreid is de aanval? Hoeveel mensen zullen waarschijnlijk nadelige gevolgen ondervinden als we niet onmiddellijk een patch uitbrengen?
- Heeft de kwetsbaarheid zich dicht genoeg bij de normale releasedatum voorgedaan om het redelijk te maken tot die tijd te wachten met het uitbrengen van de patch?
- Zal de gehaaste ontwikkeling en vrijgave van een snelle patch waarschijnlijk de functionaliteit van het programma verstoren, en misschien meer problemen veroorzaken dan oplossen?
- Is de bedreiging stabiel, of evolueert deze (of zal deze waarschijnlijk evolueren) van dag tot dag?