以什么方式來(lái)修補(bǔ)企業(yè)操作系統(tǒng)的漏洞？

就商業(yè)層面而言，這是一個(gè)很棘手的問(wèn)題。一方面，安全問(wèn)題的產(chǎn)生勢(shì)必會(huì)造成不良的公眾影響；而另一方面，及時(shí)處理這些問(wèn)題就可能帶來(lái)正面的公眾影響。

早在2003年，微軟在推出“星期二補(bǔ)丁”的時(shí)候就默認(rèn)了其臺(tái)式機(jī)和服務(wù)器操作系統(tǒng)并不安全的事實(shí)，于是在每個(gè)月的第二個(gè)星期二微軟都會(huì)定期發(fā)布在過(guò)去的四個(gè)星期里開發(fā)的安全升級(jí)補(bǔ)丁。微軟通過(guò)這一補(bǔ)丁發(fā)布周期勇敢地承認(rèn)自己存在的安全問(wèn)題，并且希望為解決這些問(wèn)題而做一些努力。與此同時(shí)，它也為管理員們提供了更新操作系統(tǒng)的準(zhǔn)備方案。

相比之下蘋果的OS X操作系統(tǒng)的安全漏洞就要少得多，而該公司也采取了一種完全不同的方式來(lái)處理這些漏洞。為了讓盡可能少的人知道該系統(tǒng)已經(jīng)出現(xiàn)的安全漏洞，蘋果不會(huì)對(duì)外公布其問(wèn)題所在，而是悄悄地對(duì)其進(jìn)行特別安全更新。（相關(guān)文章請(qǐng)參閱51CTO報(bào)導(dǎo)：“蘋果發(fā)布針對(duì) Mac OS X 的41個(gè)漏洞補(bǔ)丁”）

事實(shí)上，這兩種處理安全漏洞的方式都存在明顯的缺陷。上周，為防止后門木馬HellRTS侵襲OS X系統(tǒng)，蘋果進(jìn)行了一次安全更新，該木馬可以在Mac用戶的電腦里進(jìn)行截圖、訪問(wèn)文件夾和發(fā)送垃圾郵件等操作。Sophos的高級(jí)技術(shù)顧問(wèn)Craham Cluley評(píng)論說(shuō)：

“不幸的是，很多Mac用戶對(duì)那些在他們電腦上可能存在的安全隱患完全忽視。而蘋果這種暗中發(fā)布反惡意軟件安全更新的做法似乎對(duì)幫助用戶們解除這些威脅起不到任何作用。你一定會(huì)認(rèn)為他們?cè)诎l(fā)布反惡意軟件安全更新的時(shí)候保持緘默是出于某種市場(chǎng)目的。蘋果會(huì)說(shuō)：噓！不要告訴人們我們必須保護(hù)Mac OS X免受惡意軟件的侵害！”然而，就好像魯迅先生筆下的阿Q，頭上長(zhǎng)了瘡，為了不讓別人看見，所以一直用手捂著，結(jié)果越捂瘡越爛。等到大家都發(fā)現(xiàn)的時(shí)候，這個(gè)瘡已經(jīng)很難看了。當(dāng)您發(fā)現(xiàn)Mac OS X存在多處嚴(yán)重漏洞的時(shí)候，您很可能已經(jīng)中招了。當(dāng)然，蘋果也一直在發(fā)布它的漏洞補(bǔ)丁，但是對(duì)外公布的力度顯然不是很大，所以，請(qǐng)您注意51CTO關(guān)于Mac OS的漏洞和補(bǔ)丁報(bào)道。

那么，微軟的做法是不是很完美呢？也不是！因?yàn)樗陌踩a(bǔ)丁每個(gè)月只發(fā)布一次（特殊時(shí)期除外，比如微軟發(fā)布不定期補(bǔ)丁的時(shí)候）。理論上，聰明的黑客可以利用時(shí)間上的漏洞發(fā)起病毒攻擊，即在補(bǔ)丁發(fā)布的后一天制造之前沒被發(fā)覺的病毒，這個(gè)時(shí)間往往被稱之為漏洞星期三，而在下一次漏洞修補(bǔ)之前，黑客們有足足四周時(shí)間進(jìn)行肆意活動(dòng)。黑客們也因此通力合作，共同研究每個(gè)月的漏洞補(bǔ)丁，并會(huì)試圖在未來(lái)的幾天里利用其缺陷來(lái)給那些沒有在“補(bǔ)丁星期二”進(jìn)行及時(shí)更新的電腦制造更多的麻煩。盡管如此，請(qǐng)您還是注意51CTO.com安全頻道關(guān)于微軟漏洞補(bǔ)丁的信息，畢竟，亡羊補(bǔ)牢猶未晚也。

鑒于這兩種做法，蘋果因?yàn)槠涑鲇谀承┦袌?chǎng)目的而隱瞞OS X安全隱患的做法收到了更多的反對(duì)呼聲。盡管蘋果一再試圖讓其的用戶相信他們對(duì)于其產(chǎn)品的安全問(wèn)題有知情權(quán)，但是它始終沒有做出應(yīng)有的安全措施評(píng)估。結(jié)果是，大多數(shù)OS X用戶可能對(duì)Mac木馬也像HellRTS那樣存在的事實(shí)毫不知情。

你可能會(huì)認(rèn)為反病毒軟件廠商的雇員總向你推銷一些你根本不需要的產(chǎn)品，認(rèn)為他們的安全警告毫無(wú)意義。在很多情況下，你可能是正確的。但是，為了避免風(fēng)險(xiǎn)，你必須知道這個(gè)世界上到底在發(fā)生什么？

比如蒙蔽用戶的雙眼的蘋果公司正在用一種安全的假象給他們的用戶制造不必要的風(fēng)險(xiǎn)。就像另一名來(lái)自反病毒廠商ESET的安全顧問(wèn)，David Harley說(shuō)的那樣，“任何相信一種系統(tǒng)是完全安全可靠的，不用關(guān)心安全問(wèn)題的電腦用戶是社會(huì)工程學(xué)進(jìn)行研究的最好素材?！?/p>

【編輯推薦】

1. 微軟將發(fā)布10個(gè)安全公告 修復(fù)34個(gè)安全漏洞
2. 微軟6月補(bǔ)丁修復(fù)34個(gè)漏洞 針對(duì)Office的攻擊被緩解
3. 蘋果發(fā)布針對(duì) Mac OS X 的41個(gè)漏洞補(bǔ)丁