《华盛顿邮报》联系了一大批安全研究人员,询问他们向微软递交安全漏洞后需要多久才能得到回应,由此总结微软对安全缺陷的反应速度。
结果呢?一年下来,微软有9个多月的时间知道攻击代码的存在,有至少98天知道正有人利用IE漏洞窃取用户信息,但没有马上拿出补丁;还有10次,一些网站在微软发布补丁以前就已经详细公布了如何“修复”它们,也就变相解释了如何利用它们。
当然,这也与微软的策略有关,即每月集中发布一次安全补丁,除非情况特别危急。虽然这样方便了补丁的部署,但也耽搁了问题的解决。
相比之下,Firefox就好多了,攻击代码公诸于众、Mozilla尚未更新补丁的时间只有9天。
标签: