评论：解读微软不寻常的安全更新

关键词： 安全更新 微软 安全漏洞

CNET科技资讯网10月27日国际报道 微软上周不寻常地在定期更新日之外，发布重大(critical)紧急更新，不仅适用于Windows XP以及更旧的Windows操作系统，对Windows Vista电脑也很重要。

向微软询问之后，我强烈建议使用者立刻启动安装补丁的程序。

尽管目前为止，利用这项Windows安全漏洞的黑客程序(exploits)为数有限，但微软坦承这个安全漏洞可能引来一些旧式的网络蠕虫，而这些蠕虫曾在2004年现迹江湖，为害甚大。

除了修补Windows系统之外，我还要建议使用者，从endpoint和网络安全厂商处安装最新的安全更新。

微软这次紧急发布安全更新凸显这个威胁的严重性，而导致这个行动的幕后努力令人印象深刻，有几点值得一提：

1. 这个安全漏洞是微软安全研究员根据客户资料，自己发现的，而不是由第三方研究员通报微软。这是微软认真看待安全性的一个有力的证明。

2. 准备紧急更新时，微软通过资安伙伴计划，与其他endpoint和网络安全厂商分享资料与补丁程序。这意味紧接着微软通知之后，主要安全厂商可能跟着发布新的安全更新与支持。

3. 值得注意的是，Windows Vista的安全弱点不似旧版Windows那么明显。我认为，这凸显安全性开发生命周期(Security Development Lifecycle；SDL)。这次的安全弱点教训，可纳入未来的SDL修订版，以促成不断改良的循环。

复杂的软件总是难免潜在一些安全漏洞和软件错误。重点是要在开发与测试过程中尽可能修正这些问题，在软件发布后持续进行安全研究，并在问题发生时以专业、勤奋、合作、快速的态度反应。

依我之见，微软这次正是依循这个模式处理问题，做得不错。（Jon Oltsik）