在最新的年度安全报告中,微软宣称在防御允许远程执行代码的的漏洞方面有所进展。本周一,微软发布的第一版的报告声称:“在百分比和原始数据上,导致远程执行代码的的漏洞已显著下降。”然而,在“网络世界”指出其文本与附图之间的数据差异之后,微软发布了一个更新的版本,宣称远程执行代码只是在百分比上有所下降,不再宣称允许远程执行代码的漏洞总量正在减少。
根据微软安全响应中心的第三份年度进展报告:在2011财年,62.8%的漏洞允许远程执行代码,相对2010年的70.8%与2008年的74.1%有所下降。
在过去12个月中,微软总计发布了117个安全公告涵盖283个漏洞,这比之前五年中的任何一年数量都多。在每个月的第二个周二(周二补丁日),微软都会发布一些列涵盖大量产品的补丁。
在2010财年,微软发布了88个安全公告涵盖211个漏洞。基于微软给出的百分比,大约149个漏洞允许远程执行代码。在2011年,该类漏洞上升至178个,一年就增加了29个。
因为微软代表拒绝明确说明究竟每年会发现多少个允许远程执行代码的漏洞,而且也不提供其他种漏洞的数据,因此每年都会有许多估测。
微软代表在一封电邮中写道:“传统上,微软不与外界共享远程执行代码漏洞的确切数字,也不共享何种漏洞正在增多或减少。”
从积极的角度来看,微软的报告声称:漏洞数据表明新版软件比老版漏洞要少(当热这是理所当然的);相对老版,在最新版应用程序上,大约38%的漏洞并不严重或并不存在;只有3%的漏洞会影响新版而对老版无碍。
但是微软商店的IT专业人士仍然背负着部署日益增多的补丁的压力。通过只打最重要的补丁,使用最新版的Windows客户端和服务器软件,用户在最近一年中可以只安装117个补丁中的24个。
但是微软声称:“我们建议用户安装所有的应用安全更新,而不要跳过那些相对不那么严重的补丁。要知道开发技术正在不断更新换代,新开发的技术让黑客可以更加容易地利用漏洞,尽管这些漏洞在之前并不那么容易被利用。”
