近来,联想自动更新系统的恶意软件问题让一些人开始担心自动更新相关的风险。但专家称,现在的安全更新程序比以往都更好,而不修复漏洞的风险更大。
当联想公司最近发现其System Update程序(用于自动修复其很多笔记本电脑的漏洞)有严重的安全漏洞后,他们很快修复了其更新程序。但由于联想修复的这三个漏洞很严重,这让很多人开始担忧自动系统更新是否能提供足够的安全性,毕竟现在越来越多的系统(包括即将推出的Windows 10)正转移到自动化更新机制。
I Am The Cavalry创始人Josh Corman称,其实IT不需要太过担忧。因为糟糕或恶意更新(例如2012年假的Firefox更新)的历史让管理员对更新问题非常谨慎。
“如果你要运行软件,而软件会出故障,你需要有办法来应对这个故障,”Corman称,“有时候人们不会安装补丁,因为这会破坏他们的系统。这样的话,你可能会受到攻击,而且你还可能影响生产中的 服务器 。”
Corman称,大家不应该担忧自动更新系统的风险,虽然自动更新服务确实会引入某种远程攻击面,但其优势远远超过了风险。
“我们从过去的很多错误中学习了经验教训,并且,整个行业作为整体已经学习了如何稳定地安全地进行远程更新,”Corman称,“这并不意味着每个人都会这样做,但我更愿意鼓励人们部署更新系统,而不是避免任何部署。”
提供安全更新
对此,部署应该是关键,因为Corman和其他专家都认为虽然自动更新系统存在风险,包括潜在的中间人攻击或者更新被恶意软件拦截,但很多这些风险都是因为对更新程序的不当部署,而不是更新本身的问题。
“基本加密机制并没有问题,我不认为已经有人攻破了这个机制,真正的问题通常在于部署过程,”Qualys公司首席技术官Wolfgang Kandek称,“我知道密码学家都在谈论量子计算可能打破密码学,并取代它,但据我们所知,现在这个技术还没有实现。”
Corman称交付更新需要稳定的架构,这样更新就不会导致设备故障;安全,意味着不要以纯文本或无数字签名传输更新;可靠,意味着在签名或交付之前需要检查软件的真实性和质量。
“如果你能以稳定和可重复的方式通过安全通道提供真正的更新,那这就是前进的道路,因为你始终需要更新,”Corman称,“但你不能不更新,尽管做这些事情可能很难,但这仍然是必要的事情。”
Kandek同意称,为提供更新创建一个安全的过程可能很困难,而软件供应商简化这个工作的一种做法是尽可能多地依靠集中更新机制,例如Windows或Mac应用商店,或者甚至是Chrome Updater系统—谷歌已经使其开源化。

“这很难做好,”Kandek称,“如果你想要涵盖所有这些基础,这是非常复杂的问题,作为企业,这并不是真正值得投资,企业只要利用现有的机制即可。”
Corman同意称,这里需要一个稳定的集中更新机制,但也警告说,由于目前有很多不同的技术平台,特别是对于工业控制系统,不太可能存在单个更新程序适合所有人。
Windows系统补丁打上好还是不打的好? Windows系统升级关闭好还是打开好呢?
系统补丁当然要打了,不过你的操作系统如果不是正版,最好将Windows的自动更新关闭,因为微软要进行正版验证,会让你黑屏!但系统补丁还得打,推荐安装360安全卫士,用它打补丁安全,不会给你下载微软的正版验证补丁。 不管你什么CPU,跟打补丁没有关系。
电脑漏洞要补丁吗
系统漏洞最好打补丁,但有些漏洞是你无关紧要的,可以不打补丁也不会有什么影响,如果你的硬件配置不好的话,打上补丁后也会占系统资源使你的系统运行得更慢,但打好补丁的系统漏洞就少,安全性能也比较高, 你也要分清楚什么样的漏洞 必要的补丁还是要打的 建议你下一个 360安全卫士 装上去它有个功能扫描系统漏洞的, 你可以通过它寻找下载系统漏洞和相关的补丁安装, 呵呵
更新文件会出现电脑漏洞吗
确切的说,会电脑漏洞按有无补丁分两种,一种是已经被公开,并且已经提供了补丁的漏洞,这种漏洞危害没有那么高;一种是已经被发现,但是还没有公开,或者已经公开,但是还没有补丁程序的漏洞,这种危害比较大;还可以分成系统漏洞和应用程序漏洞,系统漏洞一般有操作系统的开发商来提供补丁,应用程序补丁则由软件开发者提供更高更安全的版本程序来解决。 但是,程序很多都是有漏洞的,即使是最新版本的程序,也免不了有漏洞,只不过是还没有被发现而已。 呵呵。
发表评论