我对微软声明不得不表示的遗憾。
昨日微软就日前Nsfocus安全小组在新浪发布的Windows2000登陆验证机制的严重漏洞发表声明,我们不得不对此加以说明。微软所说:这一问题只有在能物理上能接触到客户的计算机时才会发生,并不能对客户进行网上攻击。经过我们安全小组严格的测试只要Windows2000系统开启Terminal Service Server (终端服务)很容易用这个方法就能远程控制这台计算机!很不幸这个服务是用做方便系统管理员远程管理用的,在网络上大多数的服务器会用到远程管理服务。如果贵公司服务的客户中是用Windows2000系统而且开启了这个服务,请紧急通知所有的客户并提供相应解决办法。
至于微软所说:这不是一个新的问题。微软在两个月前就已经知道了该问题,并在两个月前就已经找到了解决方法。既然两个月之前您就已经知道了并且有了解决办法,那为什么不按照惯例发个安全公告并提供个补丁让广大用户早日知道这个最严重的漏洞的解决方法?
日前我参加了某IT专业网站在京郊组织的网络安全研讨会,在记者恳谈会上为了回答一个记者关于我国的网络安全水平的问题时,透漏了我们公司的网络安全研究小组独立发现了十几个微软的严重系统级漏洞的消息。微软为此也发表了风格相似的声明,大意是说中国的网络安全专家发现的漏洞不影响系统安全并且已经有了解决方法。据我所知对针对Nsfocus安全小组通报的漏洞只有一个编号为http://www.microsoft.com/technet/security/bulletin/MS00-044.asp的安全公告和补丁。
微软Windows系统的易用性和市场占有率已经是不争的事实,希望微软也本着科学严谨的态度来对待Windows系统的一些瑕不掩瑜的安全漏洞。