二月份第二个星期二的 Patch Tuesday 补丁发布在即,微软却突然宣布因为技术原因这个月的更新不得不取消。也就是说,Windows 用户需要等到下个月才能得到系统漏洞的更新。而在这一消息传出来之后,Windows 系统立马被曝光了 2 个严重漏洞,Windows 10 的 Edge 浏览器也被爆存安全漏洞。
而针对这些漏洞的安全更新,需要等到 3 月份的安全更新才能修复。在接近 1 个月的时间里,数亿 Windows 10 用户将面临着 3 个(至少)漏洞的安全威胁。 在 2003 年 10 月以前,微软是按照每周一次、按需自取的方式来发布安全补丁,用以修复 Windows 系统中的已经被发现或者还没有被曝光的安全漏洞。
在那段时间内,如果 Windows 操作系统被爆出重大漏洞并已严重影响到产品使用,使用 Windows 操作系统的这家公司的 IT 部门就会放下手中的所有工作去微软找补丁来修复。然而,这并不是解决问题的本质方法,微软也为此接受到了很多消费者投诉。 这种情况终于在 2003 年得到了改善。微软宣布将会在每个月的第二个星期二发布一次大型安全补丁,于是有了 Patch Tuesday(周二补丁日)这么一个说法。
微软规定的「补丁日」这种每月一次大修补的方法保证了系统的安全性,在更加完善的补丁管理系统的「加持」下,IT 部门的工作也恢复了正常。尽管补丁日在出现之初受到了人们的嘲讽,但微软的做法逐渐成了业界的标准。像是 Oracle 和 Adobe 这样的大公司,atv,也开始学习微软每个月集中发布一次更新。
在过去的 10 年里,微软的安全性提高了不少。其中最重要的进步就是系统被攻击的可能性(又被称为「可利用指数」)大幅度下降。在补丁日的补丁列表中,可利用指数补丁分为三个等级(1、2、3)。
然而消费者并不知道该在什么时候更新补丁和更新何种补丁,所以 Windows 系统已经被设置为默认自动更新。虽然 10 年前这种做法不能被消费者接受,但是微软认为将安全更新设置为默认自动更新是可以接受的。绝大多数消费者使用的 Windows 系统都已经在「不知情」的情况下打好了补丁。消费者应该会喜欢这种安静的补丁更新方式。 当你指责微软的时候,其他公司也不怎么好 然而随着技术的发展,一个漏洞从发现到传播恶意病毒、软件,只需要短短几小时的时间。去年我们就看到美国数百万台智能摄像头因为内置的安全漏洞无法得到修复而被黑客当成肉鸡进行 DDoS 攻击,然后导致整个美国断网数小时。每当出现这个问题的时候,我们就会开始思考,微软这种一个月一更新的做法能不能合理地保护用户系统安全?
在讨论微软之前,我们先看一下其他公司的做法。iOS 操作系统中一直有一个关于登录页面未加密的问题,这个问题能够让黑客获得网站的无加密身份认证 Cookie 的读写权限,从而冒充终端用户的身份。这个问题从 2013 年起就被用户反馈,知道 iOS 9.2.1 版本才得以修复,耗时 3 年。
Android 操作系统则对于某些操作系统的安全漏洞选择「放弃」。Google 在 2014 年 10 月的时候收到一个针对 Android 4.4 版本之前操作系统的安全漏洞报告,报告中称 WebView 组件中存在漏洞,威胁系统安全,该漏洞会令用户面临数据泄露的风险。一年之后,Google 公司表示放弃修复,「如果 WebView 受影响的版本低于 4.4,我们通常不会自行开发补丁,不过我们欢迎其他人提交补丁以供参考。」而其他定制 Android 操作系统能不能修复漏洞还不一定呢。此外甲骨文、Adobe 等公司也采用微软这种一个月一更新的做法。 (责任编辑:本港台直播) |