在QuickTime中两个零日漏洞被披露、且苹果公司突然停止支持该软件后,美国国土安全部和趋势科技公司发布安全公告建议用户卸载Windows版QuickTime。苹果公司随后宣布Windows版QuickTime寿终正寝。为什么苹果不修复这些漏洞,或者至少提前告知用户其结束QuickTime支持的计划?这样的做法常见吗?
Michael
Cobb:苹果公司宣布Windows版QuickTime寿命结束并没有让人感到太惊讶,但他们其实可以更好地处理这一事件,让用户有更多时间来应对。QuickTime是主要用来播放视频和音频的多媒体解决方案,它最早于1991年在Mac
OS中发布,随后推出Windows版。微软在2009年向Windows增加对主要媒体格式(H.264和AAC)的支持后,用户不再使用QuickTime来播放现代媒体格式。随着Web浏览器开始支持视频而不需要浏览器插件和网站转移到HTML
5web标准来播放视频,QuickTime的使用率持续减少。
QuickTime的消亡迹象出现在2011年,当时OS X Lion转移到AV Foundation图形框架,而在2013年,苹果公司弃用了Windows中QuickTime的所有开发者API。
然而,这个消息还是有些让人措手不及。在2016年4月,TippingPoint公司威胁防御部门发布两个零日公告(ZDI-16-241和ZDI-16-242),这两个漏洞可用于远程攻击Windows计算机,随后趋势科技宣布苹果已经停止对Windows版QuickTime的所有安全修复。TippingPoint安全公告符合零日举措的披露政策。在同一天,US-CERT发布警告TA16-105A,建议用户卸载Windows版QuickTime作为抵御该产品中当前和未来的漏洞的唯一方法。一周后,苹果宣布不再继续支持Windows版QuickTime
7。
尽管苹果对支持Windows版QuickTime的热情一直在消退,但他们还是应该提前通知用户这一重要的决定。在供应商对产品的支持停止时,谨慎的做法是停止使用它,卸载它并找到替代的方法。对于很多企业来说,只能卸载,别无其他选择,因为运行不受支持的软件将带来不必要的风险,这些软件容易被利用,而且往往被合规标准禁止使用。
苹果没有发布政策,也没有发布退役产品的官方日期。根据以往经验,他们会为当前版本的OS
X和前两个版本发布更新,从第一个版本到最后结束会提供三年支持——每年会发布新版本的OS
X。而单个产品的支持状态不太明显,正如Windows版QuickTime突然寿终正寝,而Mac版的QuickTime将继续得到更新。
企业需要合理时间才能够计划从一个主要软件版本迁移到另一个版本;例如,微软估计从Windows 2003到Windows Server
2012
R2的完整服务器迁移需要长达200天。为了给管理员时间来准备升级,软件供应商应该提供事先通知、路线图或产品寿命结束时间表,有些供应商确实会这样做。微软有生命周期支持政策,在每个产品的使用寿命中为支持可用性提供详细准则,Adobe公司也是如此。Oracle公司为其主要产品提供路线图,例如Java
SE支持路线图。
这种类型的信息使升级和产品迁移规划不太会受到突然冲击。然而,业界需要做很多工作来警告用户运行不受支持软件的危险,并鼓励人们从旧软件升级。尽管业界对即将结束寿命的Windows XP多次警告,很多用户和企业仍然在运行它。
苹果对卸载QuickTime的指示可以在这里找到,卸载QuickTime还可删除旧的QuickTime插件--用户应该不再需要。
作者:Michael Cobb
来源:51CTO