| 出版日期:2001-11-01 总期号:1068 本年期号:83 |
|
 |
微软动真的了
微软的IIS现在已经成为焦点了,有关于其安全漏洞的问题可谓一直是消息不断。大家都在期待着,微软到底会怎样处理这个“大头痛”。最新消息表明,微软对此要动真格的了,它提出:对安全漏洞分级,视其危害不同分而处之。 微软公司日前表示,为帮助顾客更好地对安全威胁做出正确反应,该公司将在今后的安全公报中增加安全分级系统。 微软公司安全反应中心表示,在新的安全分级系统中,今后微软产品的安全漏洞将分为“高危险”、“中等危险”和“低危险”三类。该公司说,在过去,只要发现有安全漏洞对某些用户(甚至是个别用户)的计算机造成危害,无论该漏洞的影响范围和局限性有多大 ,微软公司都会发布相同的安全报告和安全补丁。 去年,微软一共公布了大约100个安全漏洞公报,警告用户注意防范从“剪切器溢出漏洞”到“网络服务器文件夹遍历漏洞”等不同级别的危险。因为在安全公报中并没有对上述漏洞做出安全分级,微软表示,绝大多数的消费者并不会主动安装相应的安全补丁保护自己的系统。 据微软透露,这次对各种安全漏洞进行分级是应广大顾客的要求而推出的,微软公司将沿袭当前许多反病毒软件公司对病毒分级的做法,以“安全漏洞被发现后可能造成的潜在威胁以及安全漏洞被发现的可能性”为标准对各种安全漏洞进行分级。 微软还将根据三种不同的系统分别对有关安全漏洞进行分级,即针对因特网服务器系统、国内服务器系统和客户服务系统都有不同的分级标准。比如说,针对网络服务器的“高危险”级漏洞将包括容易导致更改网站页面、拒绝服务攻击以及对服务器进行全面控制的安全漏洞。而“低度危险”的安全漏洞将只产生有限的影响,比如导致服务器脚本泄露等漏洞均属“低度危险”漏洞。 对办公室计算机和家用计算机来说,“高危险”级安全漏洞将包括导致允许恶意代码不经用户审查即可运行的漏洞等。而可能导致客户计算机功能缺陷、信息文件碎片被窃和被修改的漏洞等,将在微软安全分级系统中被当作“低危险”级漏洞处理。 但同时,微软也承认有关技术人员的“主观性和判断力”可能在对漏洞进行分级时有一定的影响作用。微软表示,新的安全分级系统将会在下一份安全公报中实行,微软的消费者将可以严格根据自己关心的安全级别和自己使用的计算机系统环境寻找适合自己的安全漏洞报告,并下载相应的安全补丁保护自己的计算机系统。据统计,截至目前为止,微软公司今年已经发布了51份安全公报,比2000年同期减少了20份。但根据2000年的情况,10月至12月的三个月时间也正是安全漏洞被大量发现的“高危”时期,预计今年年底仍会有大量的安全漏洞被发现。 |
||||||||
