時間:2017-04-28 來源:互聯網 瀏覽量:
盡管9個月之後,微軟終於在4月11日修複了該漏洞,但網絡安全專家仍認為對於一個科技巨頭公司來說有點不盡如人意。而同行業中,Google的安全研究人員在發布其發現缺陷之前,給予供應商90天的警告。不過,微軟並未對一般漏洞修複的時間這一問題做出回應。
去年7月,一位愛達荷州立大學畢業在美國Optiv 公司擔任顧問的研究生Ryan Hanson發現了Word處理另一種格式文檔的一個缺陷,通過這個漏洞,他可以輕易插入一個能夠控製他人電腦的惡意軟件的鏈接。同時他在推特上表示他花了數月的時間將其和其他漏洞結合,使它的威脅大大增強。於是他在10月向微軟報告了這個漏洞,通常情況下用戶都會收到數千元美金作為獎勵。
用戶設置 Word 時快速更改選項便可以使漏洞生效,但如果微軟推送告知用戶該錯誤和解決方案無異於向黑客打開了方便之門。微軟本可以選擇在月度軟件更新中加入該漏洞的修複包,但它非但沒有立即這麼做反而越陷越深。微軟似乎也並沒有意識到任何一個用戶都可以使用Hanson的方法,而是希望找到一個更全麵的解決方案。
微軟一位發言人在匿名回複電子郵件中表示:“我們進行了一項調查以確定其他可能類似的方法,確保我們修複的不僅隻是被報告的問題。”並稱“這是一項複雜的調查。”
這次事件也揭露了當下和急劇增長的利益相比,微軟以及整個軟件行業在安全問題上做出的努力似乎並不成正比。