Created: 2009-06-09 17:53:22
微軟在上星期發表了一份建議報告--微軟安全建議(969136)「微軟Office PowerPoint中的漏洞可能允許遠程代碼執行」-即代表「如果用戶打開一個特製的PowerPoint檔案,可能會允許遠程代碼執行。」
此報告使用的語調非常類似一個微軟近期關於Excel漏洞諮詢的建議報告,當中提及「此安全漏洞只會受到有限和有針對性的攻擊...」,並只承諾「採取適當的行動來保護我們的客戶。」
在Register已有人指出兩國有關連的威脅,就是因為Excel的漏洞仍未修補。在這有兩個值得我們思考的問題:
-微軟是否有意打算修補這些漏洞?
-為什麼在差不多的時間發現問題,但Adobe則已經修補了它們公開的幾個漏洞?
毫無疑問,以上引用的報告內容,是一些公關常用的技巧性例行說話,我們不需太過深究。但這亦確實給了人一種不負責任的負面印象,好像因為直接受影響的人數有限,受針對攻擊的漏洞問題就不該被視為優先處理事項。如果真的是這樣,我會懷疑他們只是發放這些標準文字來安撫我們,但根本無意解決問題。
正如我先前在這裡指出,針對性的惡意程式所造成的損害可以是很大的:如果攻擊定位準確和有效,其造成的破壞(比如一個主要金融機構、又或國家的安全)會比隨機發放數以百萬計的舊式病毒更為嚴重。自3月4號,Excel的建議報告一直都沒有更新。我們相信,如果微軟可以公佈問題的最新情況並使公眾關注,是不會造成任何傷害,且更能顯示他們公司的開發者正謹慎地處理有關問題。
和adobe相比,我們很難公平地判斷和比較處理方法的優劣。因為在解決問題前,軟件公司通常不會披露漏洞,除非有關問題關係到大眾利益底造成明顯的威脅。在明確的行動確實以前,它們會嘗試封鎖漏洞的消息。所以在沒有公開確切的時間表、或肯定的步驟解決問題前。我們不能公平地比較這兩家公司的處理方法。修補更新不是在5分鐘內可以完成的工作,所以我們不應該做出這樣的比較。
但我必須表明,我仍建議微軟更新Excel漏洞的公告,讓客戶知道更多的相關情況和解決進程。當然我以上所指的,是包括了Powerpoint的報告問題。
David Harley BA CISSP FBCS CITP
Director of Malware Intelligence