11月6日,计算机安全专家指责微软为逃避修补软件安全漏洞的责任,阻挠公众披露其软件缺陷。
批评者指出,微软生产的软件是近期内多起重大安全事故的主角,微软将这一事实归咎于软件缺陷披露,并开始向缺陷披露者施加压力。
安全专家对于“是否应该公开软件漏洞”这一问题的争论由来已久。支持者认为微软对软件漏洞的反应过于迟钝,及时披露软件中的安全问题可使网管快速制订临时修补方案。公众越及时了解软件缺陷,就越有利于他们在恶意黑客利用漏洞前找到修补方案;反对者则认为,如果软件漏洞被过早披露,就给了不怀好意的黑客可趁之机。在上月发表的一份评论文章中,微软安全反应中心的经理斯科特.卡尔普曾指出,软件漏洞信息的随意散布是导致今年内多起恶性蠕虫攻击事件的主要原因。本周二,卡尔普重申这一观点,他说:“现在经常出现的一种情况是:某人发现软件漏洞,他们就会同时发布详细的漏洞检测代码及工具,而黑客会利用这些东西攻击他人。”
卡尔普认为需要建立一种行为准则,指导研究者在发现漏洞后应做出的反应,但反对者认为微软提出这样的建议是为了减轻修补漏洞的压力,考虑的是自身利益。长期以来,众多批评人士指责微软在设计软件时光是注重软件的易用性和功能性,同时却忽略了软件的安全性。
就在前不久,微软的“Passport”安全认证技术被发现存在严重的设计缺陷,它可导致用户信用卡号码和个人信息被黑客盗用,微软决定暂停使用这一技术。(周亮)
   订短信头条新闻 天下大事尽在掌握!       新浪企业广场诚征全国代理
|