解讀微軟不尋常的安全更新

ZDNet新聞專區：Jon Oltsik

5則回應

微軟昨天不尋常地在定期更新日之外，發布「重大」(critical)緊急更新，不僅適用於 Windows XP以及更舊的Windows作業系統，對Windows Vista電腦也很重要。

向微軟公司詢問之後，我強烈建議使用者立刻啟動安裝修補程式的程序。

儘管目前為止，利用這項Windows安全漏洞的駭客程式(exploits)為數有限，但微軟坦承這個安全漏洞可能引來一些舊式的網路蠕蟲，而這些蠕蟲曾在2004年現跡江湖，為害甚大。

除了修補Windows系統之外，我還要建議使用者，從endpoint和網路安全業者處安裝最新的安全簽章。

微軟這次緊急發布安全更新凸顯這個威脅的嚴重性，而導致這個行動的幕後努力令人印象深刻，有幾點值得一提：

1. 這個安全漏洞是微軟安全研究員根據客戶資料，自己發現的，而不是由第三方研究員通報微軟。這是微軟認真看待安全性的一個有力的證明。

2. 準備緊急更新時，微軟透過資安夥伴計畫，與其他endpoint和網路安全業者分享資料與修補程式。這意味緊接著微軟通知之後，主要資安業者可能跟著發布新的安全簽章與支援。

3. 值得注意的是，Windows Vista的安全弱點不似舊版Windows那麼明顯。我認為，這凸顯安全性開發生命週期(Security Development Lifecycle；SDL)。這次的安全弱點教訓，可納入未來的SDL修訂版，以促成不斷改良的循環。

複雜的軟體總是難免潛在一些安全漏洞和軟體錯誤。重點是要在開發與測試過程中儘可能修正這些問題，在軟體釋出後持續進行安全研究，並在問題發生時以專業、勤奮、合作、快速的態度反應。

依我之見，微軟這次正是依循這個模式處理問題，做得不錯。

(唐慧文/譯)