微軟為什麼總在週二發佈系統更新,而不是立刻修復安全漏洞?
二月份第二個星期二的 Patch Tuesday 補丁發佈在即,微軟卻突然宣佈因為技術原因這個月的更新不得不取消。也就是説,Windows 用户需要等到下個月才能得到系統更新。而在這一消息傳出來之後,Windows 系統立馬被曝光了 2 個嚴重漏洞,Windows 10 的 Edge 瀏覽器也被爆存安全漏洞。
而針對這些漏洞的安全更新,需要等到 3 月份的安全更新才能修復。在接近 1 個月的時間裏,數億 Windows 10 用户將面臨着 3 個(至少)漏洞的安全威脅。
為什麼微軟每個月才更新一次系統?
在 2003 年 10 月以前,微軟是按照每週一次、按需自取的方式來發布安全補丁,用以修復 Windows 系統中的已經被發現或者還沒有被曝光的安全漏洞。
在那段時間內,如果 Windows 操作系統被爆出重大漏洞並已嚴重影響到產品使用,使用 Windows 操作系統的這家公司的 IT 部門就會放下手中的所有工作去微軟找補丁來修復。然而,這並不是解決問題的本質方法,微軟也為此接受到了很多消費者投訴。
這種情況終於在 2003 年得到了改善。微軟宣佈將會在每個月的第二個星期二發佈一次大型安全補丁,並且向外界提供有限的補丁修繕信息。於是乎,就出現了 Patch Tuesday(週二補丁日)這麼一個説法。
通過微軟服務器發佈的第一個月度安全補丁發佈於 2003 年 10 月 14 日。在最近的微軟世界合作伙伴大會上,前 CEO 鮑爾默説:「這種每月更新是在座的企業和消費者需求的,因為人們並不想感到自己被輕視同時也不想隨時都在更新補丁。」
微軟規定的「補丁日」這種每月一次大修補的方法保證了系統的安全性,在更加完善的補丁管理系統的「加持」下,IT 部門的工作也恢復了正常。儘管補丁日在出現之初受到了人們的嘲諷,但微軟的做法逐漸成了業界的標準。像是 Oracle 和 Adobe 這樣的大公司,也開始學習微軟每個月集中發佈一次更新。
在過去的 10 年裏,微軟的安全性提高了不少。其中最重要的進步就是系統被攻擊的可能性(又被稱為「可利用指數」)大幅度下降。在補丁日的補丁列表中,可利用指數補丁分為三個等級(1、2、3),其中 1 級漏洞的補丁一般被認為該漏洞的代碼是已經被黑客利用,可能已有用户電腦遭到攻擊;2 級漏洞的補丁則被認為是該漏洞的代碼很難被利用,但也有被利用的可能,即便被利用黑客也不一定可以成功使用;3 級漏洞的補丁指的是該漏洞的代碼不可能被利用,微軟將其定義為「攻擊者不太可能成功利用該漏洞代碼對用户系統的脆弱處進行攻擊」。
然而消費者並不知道該在什麼時候更新補丁和更新何種補丁,所以 Windows 系統已經被設置為默認自動更新。雖然 10 年前這種做法不能被消費者接受,但是微軟認為將安全更新設置為默認自動更新是可以接受的。絕大多數消費者使用的 Windows 系統都已經在「不知情」的情況下打好了補丁。消費者應該會喜歡這種安靜的補丁更新方式。
當你指責微軟的時候,其他公司也不怎麼好
然而隨着技術的發展,一個漏洞從發現到傳播惡意病毒、軟件,只需要短短几小時的時間。去年我們就看到美國數百萬台智能攝像頭因為內置的安全漏洞無法得到修復而被黑客當成肉雞進行 DDoS 攻擊,然後導致整個美國斷網數小時。每當出現這個問題的時候,我們就會開始思考,微軟這種一個月一更新的做法能不能合理地保護用户系統安全?
在討論微軟之前,我們先看一下其他公司的做法。iOS 操作系統中一直有一個關於登錄頁面未加密的問題,這個問題能夠讓黑客獲得網站的無加密身份認證 Cookie 的讀寫權限,從而冒充終端用户的身份。這個問題從 2013 年起就被用户反饋,知道 iOS 9.2.1 版本才得以修復,耗時 3 年。
Android 操作系統則對於某些操作系統的安全漏洞選擇「放棄」。Google 在 2014 年 10 月的時候收到一個針對 Android 4.4 版本之前操作系統的安全漏洞報告,報告中稱 WebView 組件中存在漏洞,威脅系統安全,該漏洞會令用户面臨數據泄露的風險。一年之後,Google 公司表示放棄修復,「如果 WebView 受影響的版本低於 4.4,我們通常不會自行開發補丁,不過我們歡迎其他人提交補丁以供參考。」而其他定製 Android 操作系統能不能修復漏洞還不一定呢。此外甲骨文、Adobe 等公司也採用微軟這種一個月一更新的做法。
對於網頁應用,發現問題可以立即修復,用户立馬就可以用到最新的產品和服務。對於智能設備的 App 來説,開發者也可以通過修復、提交、上架的方法來修復漏洞,保護用户安全。但操作系統無法做到這種程度的快速更新,而且對於操作系統來講,系統更新的難度比 App 更新的難度大太多了。數千人的 Windows 系統研發維護團隊,一處小的修改可能「牽一髮而動全身」。
誠然,一個月一更新,對於期間發生的安全問題,微軟是無能為力的,只能寄希望於系統自帶的安全軟件和用户安裝的殺毒軟件、防護軟件能夠起效。實際上,微軟能夠做到每個月更新一次的更新頻率已經是業界良心,我們已經沒有更多理由去要求微軟實現發現問題就修復問題的程度。但我相信,如果微軟數年後實現了「一個 Windows」的目標後,全世界只有 Windows 10 操作系統在運行,那麼到時候就可以實現安全更新隨時更,功能性補丁一月一更。而現在,我們還是默默地承受這一切吧。
本文由 TECH2IPO / 創見(tech2ipo.com)編輯 Rowson 撰寫,轉載或使用本文素材進行二次創作請參閲 版權信息 。
資料來源:TECH2IPO