在动画光标(ANI)漏洞闹得满城风雨之后,不少安全专家都对微软发布安全补丁的方式提出了质疑,并建议微软重新考虑关键级补丁的发布方式。
Determina 安全专家 Nand Mulchandani 早在去年就发现了 ANI 漏洞,并于12月份向微软提出报告,但微软一直没有行动,直到攻击泛滥才拿出补丁,结果还导致了不少问题。
他说:“问题是,每次都要等到一个超级星期二才修补高危漏洞,这样对公众更有利么?我们对微软的建议是,一旦知晓高危漏洞,就设法提前行动,不要等到超级星期二再有所动作。”
微软则有自己的看法和做法,其安全响应小组的 Mike Reavy 回应说:“这个(ANI 漏洞)事件的处理方法和我们对待所有漏洞报告是一样的。在得到报告后,我们必须等到能够重现问题,才能采取进一步行动。我们也想走捷径,比如免去质量测试,但这样匆忙把补丁交给用户等于在拿用户的利益冒险。”
具体到 ANI 问题,微软在 McAfee 报告攻击出现后的四天就发布了安全公告,随后鉴于情况危急就提前发布了补丁,这得到了不少业界人士的认可,不过也许是行动过于仓促、测试不够完整,安全补丁与其他程序产生了不少冲突。
在微软看来,对付此类事件需要做的工作很多,修复漏洞是一方面,确保不带来更多问题也不容忽视。
没有评论:
发表评论