为什么Microsoft总是在星期二发布系统更新，而不是立即修复安全漏洞？

2月第二个星期二的Patch Tuesday补丁即将推出，但是微软突然宣布由于技术原因必须取消本月的更新. 换句话说，Windows用户需要等到下个月才能获取系统更新. 消息传出后，Windows系统立即面临两个严重漏洞，Windows 10的Edge浏览器也被暴露为安全漏洞.

这些漏洞的安全更新将在3月安全更新之前得到修复. 在将近一个月的时间里，数亿Windows 10用户将面临3（至少）漏洞威胁.

2003年10月之前，Microsoft每周按需发布安全补丁，以修复Windows系统中已发现或未公开的安全漏洞.

在此期间，如果Windows操作系统暴露于重大漏洞并严重影响了产品的使用，则使用Windows操作系统的公司的IT部门将把所有工作交给您. 查找Microsoft修复的补丁. 但是，这不是解决问题的必不可少的方法，微软为此收到了许多消费者投诉.

这种情况最终在2003年得到改善. Microsoft宣布它将在每月的第二个星期二发布一个大型安全补丁，并向外界提供有限的补丁修复信息. 从那时起，就有这样的声明，例如星期二补丁日（星期二补丁日）.

通过Microsoft服务器发布的第一个每月安全补丁程序于2003年10月14日发布. 在最近的Microsoft World Partner Conference上，前首席执行官鲍尔默说: “由于没有人愿意，公司和消费者必须进行每月一次的更新. 觉得自己被低估了，不想随时更新补丁.

Microsoft的“补丁日”，这是每月一次的补丁方法，可确保系统的安全性. 在更完整的补丁程序管理系统的“祝福”下，IT部门的工作已恢复正常. 尽管补丁程序之初就被人们嘲笑，但微软的方法逐渐成为行业标准. 像Oracle和Adobe这样的大公司也已经开始了解到Microsoft每月发布一次更新.

在过去的10年中微软怎么更新，微软的安全性得到了很大改善. 最重要的进步之一是系统受到攻击的可能性（也称为“可用性指数”）. 在补丁程序当天的补丁程序列表中，可用的索引补丁程序分为三个级别（1、2和3）. 其中，通常认为1级漏洞的补丁已被黑客利用. 进攻该2级漏洞的补丁被认为很难利用该漏洞的代码，但是即使未成功利用被利用的黑客，也存在被利用的可能性；级别3漏洞的补丁是指该漏洞不太可能被利用，并且Microsoft将其定义为“攻击者不太可能成功利用漏洞代码来攻击用户系统的漏洞. ”

但是，使用者不知道何时以及更新什么补丁程序，因此Windows系统已默认设置为自动更新. 尽管10年前消费者不接受这种方法，但是Microsoft认为将安全更新设置为默认的自动更新是可以接受的. 消费者使用的绝大多数Windows系统已在不知不觉中被修补. 消费者应该喜欢这种安静的补丁更新方法.

但是微软怎么更新，随着技术的发展，从发现漏洞到传播恶意病毒和软件仅需几个小时. 去年，我们看到，由于无法修复内置的安全漏洞，黑客将美国成千上万的智能相机用作肉鸡进行DDoS攻击，然后整个美国断开了几个小时. 每当出现此问题时，我们都会开始思考，Microsoft的每月更新方法是否可以合理地保护用户系统的安全？

在讨论Microsoft之前，让我们看一下其他公司的做法. iOS操作系统中有关未加密的登录页面的问题. 此问题可使黑客获得网站未加密身份验证cookie的读写权限，从而冒充最终用户的身份. 自2013年以来，该问题已由用户报告，并且已知iOS 9.2.1版本已修复，历时3年.

Android操作系统选择“放弃”某些操作系统的安全漏洞. Google在2014年10月收到了针对Android 4.4之前版本操作系统的安全漏洞报告. 该报告指出，WebView组件中存在一些漏洞，这些漏洞威胁着系统安全. 此漏洞将使用户面临数据泄漏的风险. 一年后，谷歌表示将放弃维修. “如果WebView的受影响版本低于4.4，我们通常不会自己开发补丁，但我们欢迎其他人提交补丁以供参考. ”可以修复其他自定义的Android操作系统吗？漏洞不一定. 此外，Oracle，Adobe和其他公司也使用Microsoft的每月更新.

对于Web应用程序，如果发现问题，可以立即进行修复，并且用户可以立即使用最新的产品和服务. 对于智能设备上的应用程序，开发人员还可以修复，提交和列出方法来修复漏洞并保护用户安全. 但是，操作系统无法实现这样的快速更新，并且对于操作系统而言，系统更新比App更新困难得多. 在Windows系统研发和维护团队中，成千上万的人可能进行小的修改就可以“将整个身体拉动一次”.

的确，Microsoft每月无权处理此期间发生的安全问题. 它只能希望系统附带的安全软件以及用户安装的防病毒软件和保护软件能够正常工作. 实际上，Microsoft每月更新一次频率已经成为业界的良心. 我们没有更多的理由要求Microsoft了解已解决问题的程度. 但是我相信，如果微软在几年后实现“一个Windows”的目标并且世界上仅运行Windows 10操作系统，那么就有可能在任何时候实施安全更新，并且功能补丁将在每次更新一月. 现在，让我们默默承担一切.

本文由TECH2IPO / Transcend（tech2ipo.com）编辑罗森（Rowson）撰写，请参阅版权信息以转载或使用该材料进行二次创作.

news.zol.com.cntrue中关村report4229 2月第二个星期二的Patch Tuesday补丁即将发布，但微软突然宣布由于技术原因必须取消本月的更新. 换句话说，Windows用户需要等到下个月才能获取系统更新. 消息传出后，Windows系统立即暴露出两个严重漏洞，Windows 10的Edge浏览器也爆炸了...

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-215528-1.html