微軟的修補程式迷宮

微軟2日發布「設定調整」更新程式，以修補Windows電腦遭Download.Ject鑽入的漏洞。問題是，使用者上微軟網站下載程式時，卻不知從何找起。 微軟呼籲Windows XP、Windows Server 2003和Windows 2000作業系統的使用者儘速上網下載修補程式。已安裝Windows XP更新服務包第二版（SP2）的電腦，則已受到保護，安全無虞。 最新的事件顯示，惡意程式一旦來襲，反應時間有限。從惡意程式在網際網路上現形，到軟體公司發布修補程式和設定調整程式之間，可能只隔幾天，甚至幾個小時。 就這個例子而言，微軟說，設定調整程式在該公司網站上「現在已可取得」，2日稍後也會透過Windows更新（Windows Update）網站提供。 微軟的用意，是試圖限制惡意程式作者檢視修補程式進而撰寫、散布惡意程式的時間長短，以免更多來不及防護的系統再遭攻擊。但整個過程顯示微軟疏忽細節，而這是更嚴重的問題，因為那暴露出微軟「可信賴運算」計畫的大缺陷。 2日早晨9時，微軟網站公告，Windows更新服務會在當天稍後提供修補程式。迫不及待想下載的使用者，被導引至微軟的下載中心（Download Center）。 但點選連結後，使用者來到一個網頁，卻找不到微軟聲稱就在此處的修補程式。該網站列出最受歡迎的下載程式，但卻未提供清楚的標示，比方說：「欲下載Download.Ject防護程式者，請點選此連結！」 找到新修補程式的唯一希望，是往「更多熱門下載」連結去找。點選之後，瀏覽一下整個清單，我還是不知道究竟哪一個下載程式可能是我要找的。拜託，至少應該標註日期吧！ 又氣又餒，我嘗試在關鍵字搜尋列中輸入「Download.Ject」，心想一旦按下「確定」鍵，搜尋結果總會指引個方向。結果還是一無所獲。 本文截稿前，微軟尚未說明為何公告一個讓人遍尋不找的修補程式。但微軟的確提供一個連結，可直接導向下載程式，只不過那又牽扯出另一個問題。 微軟未標示Download.Ject或「按鍵側錄」這類描述字眼，讓使用者一目了然。那個直達網頁是為軟體開發者而設，新修補程式命名為「微軟資料存取元件重大更新-自Internet Explorer解除ADODB.Stream物件（KB870669）」。微軟在這個更新程式的描述文字中，也未提到比較淺顯易懂的關鍵字。 微軟這次的應變過程，令人對「可信賴運算」計畫的觀感不佳，覺得微軟面對嚴重威脅時，在細節的處理上粗枝大葉。要提振使用者的信心，微軟必須更用心，在修補程式發布前先確定是否已準備妥當，否則不要貿然宣布。微軟也應該設計一目了然的路標，讓一般使用者和Windows系統管理員能儘快找到並下載最迫切需要的更新程式

• ·使用DataReader、DataSet、Da
• ·如何快速减肥呢 减肥_美丽顾问
• ·《走过类型，运算符和表达式的迷宫》拾遗
• ·使用Canvas制作MIDlet的欢迎界面
• ·优秀的J2EE 开发工程师应该掌握的知识点
• ·微软系统泄露密码入侵分析
• ·DataGrid表头跨行合并的实现
• ·冬季减肥 准确运动是关键 减肥_美丽顾问
• ·如何在Linux下增加Swap
• ·用sysdeo的tomcatplugin整合最