据悉,微软上个月秘密修复了三个安全漏洞,其中有两个安全漏洞影响到企业执行重要任务的Exchange邮件服务器。
微软的安全补丁有时候会比他们描述的具有更多问题。对于微软来讲,这已经不是一个新问题了,也不是微软特有的。当供应商分析和修补了一个漏洞时,他们可能会在同一个代码里发现其他的漏洞,那么这些补丁程序就要修补所有的漏洞。
但是,安全技术公司CST(Core Security Technologies)的研究表明,在发布补丁的时候,微软可能低估了各种补丁的意义,在推出这些关键漏洞的补丁的时候,公司的竞争力就被降低了。
尤其是,微软相信上个月修补的秘密补丁中的两个比微软公告建议还重要。它们还发布了两个讨论漏洞的公告。微软承认它在没有告诉用户的情况下修复了一些安全漏洞。但是,微软为这种做法进行了辩护。微软安全计划经理Jerry Bryant说,这样做有助于减少用户使用安全补丁的数量,因为更新会中断用户的软件环境。
CST分析称:它使用真正的攻击来检查网络脆弱性。攻击也是这么做的:补丁文件和非补丁文件可以更准确地看到补丁是一件比较普遍的技术,这也是精确评价和及时配置如此重要的原因。
微软以及其他同行业供应商的政策并没有揭露这些内部发现的漏洞,他们也没有提到行业级别的CVE(Common Vulnerabilities & Exposures)数据,更没有在每一个公告中表明这些。
如果公布的漏洞比补丁修复的其他漏洞更严重,那么用户就有低估这些补丁重要性的可能,这样他们就会降低对安全的敏感性。结合事实来看,发布补丁经常会造成对漏洞的开发利用。这也是一个危险的情况。
在讨论中的这个两个修补程序都是“重要的”,是微软第二重要的,即使考虑了其他漏洞以后。这个评定依然可能是合理的。尽管如此,未来仍然有问题需要考虑:会有很多比一开始看起来复杂的更多的补丁出现。