周二,微软为旗下安全软件产品发布了一个紧急修复补丁。 我们会注意到它,因为微软很少发布紧急补丁,他们一般在每个月的第二个星期二集中发布旗下软件产品的所有补丁。微软很有必要发布这个紧急补丁,因为发现这 一安全漏洞的发现者是谷歌安全软件工程师泰威·奥曼迪(Tavis Ormandy)。奥曼迪会很快对外公开这个漏洞,完全不理睬微软是否已经修复它,甚至对外声称微软难以合作。
正因为多次发现微软软件产品漏洞,还常常在微软修复之前,公开演示黑客会如何利用这一漏洞发起安全威胁,所以奥曼迪在业内非常有名。就在一年前,奥曼迪发现了一个可以让黑客获得对Windows的控制权或让它崩溃的Bug,他不但在微软修复前公布了这个Bug,还发布了exploit代码展示他们如何利用这个Bug,这只是微软与奥曼迪安全漏洞冲突的一部分。
2010年,奥曼迪只给了微软5天时间修复他所发现的一个漏洞。这一举动引发了业内极大非议,因为安全软件产业内的一般公开时间是30天到60天。 太迟公布自己发现的安全漏洞,会导致软件公司动作迟缓,最终让黑客捷足先登。太早公布漏洞,无异于帮助黑客威胁计算机产业安全,尤其是在微软软件产品被到 处使用,同时被全世界的黑客死死盯住的情况下,这种做法在中国叫:助纣为虐。
去年,谷歌公开支持奥曼迪的做法,并改变了他们的漏洞披露政策。他们宣称,如果谷歌工程师在其他公司的软件中发现漏洞,他们会在7天之后对外公布。这样做的理由是,帮助全球软件公司快速修复自己的漏洞。
同时,奥曼迪依然没有停止自己的行动,他最近比较感兴趣的是Windows 8。上个月,他在推特上声称,自己在Windows 8上发现了一个Bug。
所以这一回,微软能赶在奥曼迪的公开之前发布补丁是非常幸运的。几乎所有的微软安全软件产品都受到这个漏洞的波及,它们包括Microsoft Security Essentials(MSE)防病毒软件,企业级安全软件产品Forefront,云安全服务 Intune等。这些安全软件保护着大量的微软软件产品 的安全,如果漏洞被黑客利用,后果不堪设想。
微软在紧急安全补丁公告中声称,感谢奥曼迪为微软用户免于安全威胁所作的贡献。