歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

微軟為什么總在周二發布系統更新,而不是立刻修復安全漏洞?

來源:本站整理 作者:佚名 時間:2017-03-19 TAG: 我要投稿

二月份第二個星期二的 Patch Tuesday 補丁發布在即,微軟卻突然宣布因為技術原因這個月的更新不得不取消。也就是說,Windows 用戶需要等到下個月才能得到系統更新。而在這一消息傳出來之后,Windows 系統立馬被曝光了 2 個嚴重漏洞,Windows 10 的 Edge 瀏覽器也被爆存安全漏洞。

而針對這些漏洞的安全更新,需要等到 3 月份的安全更新才能修復。在接近 1 個月的時間里,數億 Windows 10 用戶將面臨著 3 個(至少)漏洞的安全威脅。

為什么微軟每個月才更新一次系統?

在 2003 年 10 月以前,微軟是按照每周一次、按需自取的方式來發布安全補丁,用以修復 Windows 系統中的已經被發現或者還沒有被曝光的安全漏洞。

在那段時間內,如果 Windows 操作系統被爆出重大漏洞并已嚴重影響到產品使用,使用 Windows 操作系統的這家公司的 IT 部門就會放下手中的所有工作去微軟找補丁來修復。然而,這并不是解決問題的本質方法,微軟也為此接受到了很多消費者投訴。

這種情況終于在 2003 年得到了改善。微軟宣布將會在每個月的第二個星期二發布一次大型安全補丁,并且向外界提供有限的補丁修繕信息。于是乎,就出現了 Patch Tuesday(周二補丁日)這么一個說法。

通過微軟服務器發布的第一個月度安全補丁發布于 2003 年 10 月 14 日。在最近的微軟世界合作伙伴大會上,前 CEO 鮑爾默說:「這種每月更新是在座的企業和消費者需求的,因為人們并不想感到自己被輕視同時也不想隨時都在更新補丁。」

微軟規定的「補丁日」這種每月一次大修補的方法保證了系統的安全性,在更加完善的補丁管理系統的「加持」下,IT 部門的工作也恢復了正常。盡管補丁日在出現之初受到了人們的嘲諷,但微軟的做法逐漸成了業界的標準。像是 Oracle 和 Adobe 這樣的大公司,也開始學習微軟每個月集中發布一次更新。

在過去的 10 年里,微軟的安全性提高了不少。其中最重要的進步就是系統被攻擊的可能性(又被稱為「可利用指數」)大幅度下降。在補丁日的補丁列表中,可利用指數補丁分為三個等級(1、2、3),其中 1 級漏洞的補丁一般被認為該漏洞的代碼是已經被黑客利用,可能已有用戶電腦遭到攻擊;2 級漏洞的補丁則被認為是該漏洞的代碼很難被利用,但也有被利用的可能,即便被利用黑客也不一定可以成功使用;3 級漏洞的補丁指的是該漏洞的代碼不可能被利用,微軟將其定義為「攻擊者不太可能成功利用該漏洞代碼對用戶系統的脆弱處進行攻擊」。

然而消費者并不知道該在什么時候更新補丁和更新何種補丁,所以 Windows 系統已經被設置為默認自動更新。雖然 10 年前這種做法不能被消費者接受,但是微軟認為將安全更新設置為默認自動更新是可以接受的。絕大多數消費者使用的 Windows 系統都已經在「不知情」的情況下打好了補丁。消費者應該會喜歡這種安靜的補丁更新方式。

當你指責微軟的時候,其他公司也不怎么好

然而隨著技術的發展,一個漏洞從發現到傳播惡意病毒、軟件,只需要短短幾小時的時間。去年我們就看到美國數百萬臺智能攝像頭因為內置的安全漏洞無法得到修復而被黑客當成肉雞進行 DDoS 攻擊,然后導致整個美國斷網數小時。每當出現這個問題的時候,我們就會開始思考,微軟這種一個月一更新的做法能不能合理地保護用戶系統安全?

在討論微軟之前,我們先看一下其他公司的做法。iOS 操作系統中一直有一個關于登錄頁面未加密的問題,這個問題能夠讓黑客獲得網站的無加密身份認證 Cookie 的讀寫權限,從而冒充終端用戶的身份。這個問題從 2013 年起就被用戶反饋,知道 iOS 9.2.1 版本才得以修復,耗時 3 年。

Android 操作系統則對于某些操作系統的安全漏洞選擇「放棄」。Google 在 2014 年 10 月的時候收到一個針對 Android 4.4 版本之前操作系統的安全漏洞報告,報告中稱 WebView 組件中存在漏洞,威脅系統安全,該漏洞會令用戶面臨數據泄露的風險。一年之后,Google 公司表示放棄修復,「如果 WebView 受影響的版本低于 4.4,我們通常不會自行開發補丁,不過我們歡迎其他人提交補丁以供參考。」而其他定制 Android 操作系統能不能修復漏洞還不一定呢。此外甲骨文、Adobe 等公司也采用微軟這種一個月一更新的做法。

對于網頁應用,發現問題可以立即修復,用戶立馬就可以用到最新的產品和服務。對于智能設備的 App 來說,開發者也可以通過修復、提交、上架的方法來修復漏洞,保護用戶安全。但操作系統

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.gkrbnd.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        福彩原副主任