这是关于微软公司的无效安全补丁的新闻。
[PChome.net北京消息]这是关于微软公司的无效安全补丁的新闻。
一个私人的网络安全论坛最近发出了关于微软公司的安全补丁的警告,详细指出这一安全补丁并未凑效。
Argeniss信息安全公司的创始人和首席执行官Cesar Cerrudo发现,在4月12日发布的MS05-018补丁并不完全起作用,系统需要一个更全面有效的安全补丁。
作为知名的信息安全专家,Cerrudo表示,这一补丁原本打算修复一个客户/服务器运行时间的拒绝服务的缺陷,但经过实验,这一补丁并未完全起作用。
“问题的主要原因是微软并未修复这一缺陷机制,而是仅仅在一个易受攻击的方向上添加了一段认证代码。但却漏掉了其他的易受攻击的途径的修复。而且微软在完成补丁之后,并未测试其可靠性。”Cerrudo表示。
微软的这一缺陷补丁,导致公司损失了大笔的研发资金和浪费了时间。但这些金钱上和时间上的损失,最终还是会转嫁到用户身上。Cerrudo继续指出。
“我个人认为微软公司上一年在信息安全方面的进步是有目共睹的,但是仍然需要对补丁发布这一过程做出改善以防止类似的无效补丁。”Cerrudo说。
补丁效果不佳一直以来让微软的安全响应中心声明狼藉。而公司也大力投资在改进安全响应的过程上,招募补丁测试员并取得了可喜的进步,但是补丁效果不佳依然如噩梦般困扰。
发布对问题补丁的修正,已经成为了每月必做的事情之一。这同时也让微软的安全响应中心被推到了浪尖上。
根据安全顾问Dana Epp对微软安全性能的评估,最近的失误表明人的因素依然是安全体系中最薄弱的环节。就算是微软最新的安全设计范例,最近的一系列补丁问题暴露出整个过程并不完美。毕竟人是容易出错的,就算是微软的员工也如此。
Epp指出,这些失误反应了一个更大的问题。微软公司是以检查字串复制功能以防止缓存溢的机制而闻名的。但是最近的无效补丁却让我们看到,研发人员在开发补丁时似乎忘记了这一机制。
微软公司的发言人回应Cerrudo的指责,说最近发布的MS05-018和MS05-049两个补丁效果良好,但是后一个补丁修复了一个新发现的缺陷。
在一份简单的声明中,微软公司解释,原来的补丁修复的是“MS05-018”所针对的系统缺陷,但公司本身并未讨论Cerrudo所指出的原来的补丁并不能完全修复系统漏洞这一事情。
网友评论