据英国《每日邮报》4 月 27 日报道,微软终于修复 word 安全漏洞。此次 Word 高危漏洞让黑客有可趁之机在 word 文档中插入恶意软件的链接,甚至毫无声息地监视和控制用户的电脑。
尽管 9 个月之后,微软终于在 4 月 11 日修复了该漏洞,但网络安全专家仍认为对于一个科技巨头公司来说有点不尽如人意。而同行业中,Google 的安全研究人员在发布其发现缺陷之前,给予供应商 90 天的警告。不过,微软并未对一般漏洞修复的时间这一问题做出回应。
去年 7 月,一位爱达荷州立大学毕业在美国 Optiv 公司担任顾问的研究生 Ryan Hanson 发现了 Word 处理另一种格式文档的一个缺陷,通过这个漏洞,他可以轻易插入一个能够控制他人电脑的恶意软件的链接。同时他在推特上表示他花了数月的时间将其和其他漏洞结合,使它的威胁大大增强。于是他在 10 月向微软报告了这个漏洞,通常情况下用户都会收到数千元美金作为奖励。
用户设置 Word 时快速更改选项便可以使漏洞生效,但如果微软推送告知用户该错误和解决方案无异于向黑客打开了方便之门。微软本可以选择在月度软件更新中加入该漏洞的修复包,但它非但没有立即这么做反而越陷越深。微软似乎也并没有意识到任何一个用户都可以使用 Hanson 的方法,而是希望找到一个更全面的解决方案。
微软一位发言人在匿名回复电子邮件中表示:“我们进行了一项调查以确定其他可能类似的方法,确保我们修复的不仅只是被报告的问题。”并称“这是一项复杂的调查。”
这次事件也揭露了当下和急剧增长的利益相比,微软以及整个软件行业在安全问题上做出的努力似乎并不成正比。