微软一直在为我们默默地修复安全漏洞并且故意在每个月的安全公告中隐去了具体细节么? Matthew Murphy, 一位曾经和MSRC (微软安全反应中心) 合作相当密切的安全专家近日批评微软说, 公司没有在MS06-015这个安全公告中把具体修复的漏洞标明是在 "误导" 用户. 因为 Murphy 发现, 这个标记为 "严重" 的资源管理器补丁还同时修复了一个被微软描述为 "已公开披露的变种" 漏洞, 这个漏洞是在2004年5月被发现的(CVE-2004-2289). Murphy 注意到了, 这个漏洞曾被标记为秘密呈报, 但同时, 这个被修复的 "变种" 又已经被公开了700天以上.  "如果是这样的话, 那么这个 '变种' 就是在被众所周知后才又被 (按照微软的说法) '发现' 并'秘密呈报' 的" 他说道,  "微软公布的信息完全是在误导大众, 公司不标注清楚那些被公开报道的漏洞是忽视用户的利益的行为. "

在接受 eWEEK 的采访时, Murphy 又爆料, 他很怀疑一个在2005年八月被报告的漏洞是否已经在上述的补丁中被悄然修复了. MS06-015中有这样一段描述 "纵深防御更改" 以确保在  "Internet 区域执行拖放操作" 时均会出现提示. Murphy 称这段话很像他在2月份公开的一个漏洞, 其漏洞披露标识为 CVE-2005-3240. Murphy 本来是在 2005 年的八月向微软安全反应中心呈报的这一漏洞, 但却推迟了整整6个月才向大众公开. 其间, 他就一直在同微软安全反应中心争论这个漏洞的等级问题, 最后微软决定不对此漏洞发放安全补丁来进行修补, 而是把修复工作放在 Windows Server 2003 的 Service Pack 2 和 Windows XP 的 Service Pack 3 中去, 但微软的实际行动却与这个决定大相径庭.

 "我不赞同微软的这个决定, 同时, 我进而发现微软对重大漏洞的修复时间进度非常不适宜"  Murphy 称. Murphy 并没有测试在这个补丁中, 所谓的拖放操作问题是否真的被修复了, 但无论如何, 他都对微软含混不清的公告大为不满.  "微软应该让用户知道他们正在面对怎么样的威胁. 他们修补的漏洞并不是幻影, 也不是像科幻故事中的那样的攻击. 微软未公开的秘密文档带来了诸多问题, 并把部署补丁这项工作置于了一个不利的位置. 你甚至连你正在修补什么漏洞都不知道, 也不知道如果不打补丁的话会面临怎样的威胁. 这样一来, 管理员就会部署很多并不必要的补丁, 从而带来很多兼容性问题. " Murphy 表示 MS06-015  "应该被修改或者全部重写一次, 并且需注明提供补丁的目的, 以及完整的漏洞信息. "

微软拒绝了 eWEEK 的采访, 但是公司给 eWEEK 发来了一份声明. 声明强调, 所有 MS06-015 修复的公开漏洞写进了安全公告中, 列在了 "漏洞详细资料" 部分, 而且全部单独列出了 CVE 编号. 声明中还提到,  "我们同 Matt 有工作上的关系, 我们对他的反馈意见表示欢迎, 这有助于我们改进安全公告. "

Murphy:  "这个安全公告修补了一个未标示出的CVE, 而微软却说所有的 '公开漏洞' 都分别标明了是很可笑的, 他们根本就没有回应我的问题, 他们根本 就没有提供有效的信息来说明这个 '变种' 到底是什么. 还有就是那个 '纵深防御更改', 我们不知道这个更改是为了应付什么样的威胁, 就像是来自随机事件. "

具有讽刺意味的是, 仅仅在这一事件前不到一个月, MSRC 还批评了苹果公司在安全方面的工作.  "安全问题的关键就是要走在前面, 并与你的用户充分交流, 指导他们如何才能更加的安全"  这是 MSRC 的主管 Stephen Toulouse 在回答他是如何看待 Apple 近来在安全领域面临的窘境时所做的陈述.


新闻来源: eWEEK (Aoouch 编译)

注: 翻译仓促, 或有不全, 或有不确, 更多信息请参考原文.