二月份第二个星期二的 Patch Tuesday 补丁发布在即,微软却突然宣布因为技术原因这个月的更新不得不取消。也就是说,Windows 用户需要等到下个月才能得到系统更新。而在这一消息传出来之后,Windows 系统立马被曝光了 2 个严重漏洞,Windows 10 的 Edge 浏览器也被爆存安全漏洞。
而针对这些漏洞的安全更新,需要等到 3 月份的安全更新才能修复。在接近 1 个月的时间里,数亿 Windows 10 用户将面临着 3 个(至少)漏洞的安全威胁。
为什么微软每个月才更新一次系统?在 2003 年 10 月以前,微软是按照每周一次、按需自取的方式来发布安全补丁,用以修复 Windows 系统中的已经被发现或者还没有被曝光的安全漏洞。
在那段时间内,如果 Windows 操作系统被爆出重大漏洞并已严重影响到产品使用,使用 Windows 操作系统的这家公司的 IT 部门就会放下手中的所有工作去微软找补丁来修复。然而,这并不是解决问题的本质方法,微软也为此接受到了很多消费者投诉。
这种情况终于在 2003 年得到了改善。微软宣布将会在每个月的第二个星期二发布一次大型安全补丁,并且向外界提供有限的补丁修缮信息。于是乎,就出现了 Patch Tuesday(周二补丁日)这么一个说法。
通过微软服务器发布的第一个月度安全补丁发布于 2003 年 10 月 14 日。在最近的微软世界合作伙伴大会上,前 CEO 鲍尔默说:「这种每月更新是在座的企业和消费者需求的,因为人们并不想感到自己被轻视同时也不想随时都在更新补丁。」
微软规定的「补丁日」这种每月一次大修补的方法保证了系统的安全性,在更加完善的补丁管理系统的「加持」下,IT 部门的工作也恢复了正常。尽管补丁日在出现之初受到了人们的嘲讽,但微软的做法逐渐成了业界的标准。像是 Oracle 和 Adobe 这样的大公司,也开始学习微软每个月集中发布一次更新。
在过去的 10 年里,微软的安全性提高了不少。其中最重要的进步就是系统被攻击的可能性(又被称为「可利用指数」)大幅度下降。在补丁日的补丁列表中,可利用指数补丁分为三个等级(1、2、3),其中 1 级漏洞的补丁一般被认为该漏洞的代码是已经被黑客利用,可能已有用户电脑遭到攻击;2 级漏洞的补丁则被认为是该漏洞的代码很难被利用,但也有被利用的可能,即便被利用黑客也不一定可以成功使用;3 级漏洞的补丁指的是该漏洞的代码不可能被利用,微软将其定义为「攻击者不太可能成功利用该漏洞代码对用户系统的脆弱处进行攻击」。
然而消费者并不知道该在什么时候更新补丁和更新何种补丁,所以 Windows 系统已经被设置为默认自动更新。虽然 10 年前这种做法不能被消费者接受,但是微软认为将安全更新设置为默认自动更新是可以接受的。绝大多数消费者使用的 Windows 系统都已经在「不知情」的情况下打好了补丁。消费者应该会喜欢这种安静的补丁更新方式。
当你指责微软的时候,其他公司也不怎么好然而随着技术的发展,一个漏洞从发现到传播恶意病毒、软件,只需要短短几小时的时间。去年我们就看到美国数百万台智能摄像头因为内置的安全漏洞无法得到修复而被黑客当成肉鸡进行 DDoS 攻击,然后导致整个美国断网数小时。每当出现这个问题的时候,我们就会开始思考,微软这种一个月一更新的做法能不能合理地保护用户系统安全?
在讨论微软之前,我们先看一下其他公司的做法。iOS 操作系统中一直有一个关于登录页面未加密的问题,这个问题能够让黑客获得网站的无加密身份认证 Cookie 的读写权限,从而冒充终端用户的身份。这个问题从 2013 年起就被用户反馈,知道 iOS 9.2.1 版本才得以修复,耗时 3 年。
Android 操作系统则对于某些操作系统的安全漏洞选择「放弃」。Google 在 2014 年 10 月的时候收到一个针对 Android 4.4 版本之前操作系统的安全漏洞报告,报告中称 WebView 组件中存在漏洞,威胁系统安全,该漏洞会令用户面临数据泄露的风险。一年之后,Google 公司表示放弃修复,「如果 WebView 受影响的版本低于 4.4,我们通常不会自行开发补丁,不过我们欢迎其他人提交补丁以供参考。」而其他定制 Android 操作系统能不能修复漏洞还不一定呢。此外甲骨文、Adobe 等公司也采用微软这种一个月一更新的做法。
对于网页应用,发现问题可以立即修复,用户立马就可以用到最新的产品和服务。对于智能设备的 App 来说,开发者也可以通过修复、提交、上架的方法来修复漏洞,保护用户安全。但操作系统无法做到这种程度的快速更新,而且对于操作系统来讲,系统更新的难度比 App 更新的难度大太多了。数千人的 Windows 系统研发维护团队,一处小的修改可能「牵一发而动全身」。
诚然,一个月一更新,对于期间发生的安全问题,微软是无能为力的,只能寄希望于系统自带的安全软件和用户安装的杀毒软件、防护软件能够起效。实际上,微软能够做到每个月更新一次的更新频率已经是业界良心,我们已经没有更多理由去要求微软实现发现问题就修复问题的程度。但我相信,如果微软数年后实现了「一个 Windows」的目标后,全世界只有 Windows 10 操作系统在运行,那么到时候就可以实现安全更新随时更,功能性补丁一月一更。而现在,我们还是默默地承受这一切吧。
本文转自d1net(转载)
