2003-01-28 ChinaByte

　　1月27日消息，在国际上的一系列电子邮件披露微软自己的网络在上周末蠕虫袭击互联网的过程中也未能幸免的消息之后，微软依靠软件补丁修复重大安全漏洞的政策星期一（1月27日）受到了质疑。

　　微软信息技术事业部数据中心运营经理Mike Carlson在太平洋标准时间星期六上午8点零4分发给微软其它事业部同事的电子邮件中说：“所有的应用程序和服务可能都受到了影响，网络性能断断续续的，很不稳定。这个网络实际上已经被大量的通信所淹没，很难收集有关影响的详细情况。”

　　这个信息使微软的处境非常微妙。微软依靠用户修复安全漏洞，但是上周末的事件表明，即使是微软的网络也是易受攻击的。在这起事件中，微软曾敦促用户修复SQL Server 2000软件中的安全漏洞，但是它自己显然没有接受自己的忠告。而且，虽然这个安全漏洞披露已经有一年的时间了，微软的服务器仍存在受到网络攻击的重大安全漏洞。

　　Counterpane互联网安全公司首席技术官Bruce Schneier说，这件事表明，依靠补丁修复安全漏洞的做法是不可行的。他们可以公开地说，这不是我们的错儿，因为你们早就该修复漏洞。但是，微软自己的行为表明，你不能指望人们能够及时下载最新的补丁。

　　多年以来，系统管理员一直抱怨他们跟不上微软和其它软件公司不断发布的漏洞补丁。去年10月，微软甚至提高了“危机”等级安全漏洞的门槛，这样，系统管理员就不必处理那些似乎需要立即关注的许多补丁了。

　　因此，在处理SQL Slammer这个安全漏洞的问题上，微软的做法也不正确。微软在6个月之前就向用户通报了这个安全漏洞并且提供了补丁。但是，在这次蠕虫对网络的袭击中，微软自己的网络也出了问题。所以说，要使系统百分之百地升级最新的补丁，微软自己也没有做到。