轉貼 shiming 網友的專業見解
(原文出處 http://www.oikos.com.tw/v4/viewtopic.php?id=72792 )
==============
這個指責其實是在為他們自己炒新聞,Flashback與其他幾個這兩年開始流傳的惡意軟體
,跟Windows病毒的傳染途徑根本不同。
1. 感染途徑:
A. Windows病毒可以從諸如Office檔案(非執行檔)感染電腦,或是只要一個檔案被感染
後,會開始自我複製,搜尋,修改其他本機甚至網路上的執行檔。
B. Mac的惡意軟體是由使用者自行下載,然後點選安裝,還要點選確認去執行,換句話
說,系統的保護措施都還在,並未被繞過,只是使用者確認執行的這個軟體的功能並不是
他會想要的,一旦執行後,系統的其他軟體也不會被修改,或蔓延到其他電腦。
2. 及時修正缺陷?
A. Windows,每個月發佈的安全更新,實際上你根本不知道這個安全問題存在多久了,
Microsoft其實用利誘(簽約合作),恐嚇(你在我修好前公布我就告你)與安全專家建立關
係。
B. Mac,你點進安全更新的說明,是哪個問題,以提報的編號去查其實查的到發現時間
的,卡巴斯基會這麼講,大概就是Apple不肯用MS的"利誘"方式堵他們的口而已。
再者,這次被質疑的Flashback用的Java漏洞的修復速度,其實對Apple而言並不公平,像
是:
http://news.networkmagazine.com.tw/classification/security/2012/04/18/39103/
=======================================
這項揭露肯定更加深了外界對蘋果公司在建立與釋出Java相關更新速度上的疑問,舉例來
說,根據彭博社新聞的報導,這個Java漏洞最早是由荷蘭軟體工程師Jeroen Frijters在
2011年7月所發現,同時他也將問題立即回報給甲骨文。但是據傳當甲骨文密切與微軟合
作為Windows撰寫修補程式時,蘋果公司卻傾向自行撰寫修正更新,這同時也延長了漏洞
修補程序的時間。
=======================================
像是類似的說法,其實根本搞錯了問題的所在,你可以發現這個問題從發現到被解決,
Oracle用了8個月(2月中旬修好的),MS或其他公司過去面對問題修正的時間常常也在半年
左右(Adobe最誇張,安全問題的修復可以用年來記錄,甚至公布了也不在意)。Apple並不
是要自行撰寫修正的更新,而是Oracle自行開發Windows/Linux/Solaris版的Java
runtime,而偏偏獨漏身為第二大平台的Mac OS,讓Apple必須等Oracle修正完後,才能就
Oracle公布的原始碼去修改自家的分支,一個半月,含修正及測試,其實並不是離譜的事
。
這也是為什麼去年Apple宣布不再自行移植新版的Java runtime,把維護Java runtime的
問題丟回給Oracle的原因,想要推Java,就請認真面對Apple已經不是昔日可以忽略的平
台,沒有理由要Apple投入額外資源替Oracle做這件事。把球丟回Oracle,這樣未來的問
題修正才可以即時。
嗯 .. 話說 Apple 很早以前就想跟 JAVA 分手了,可是它太重要 ....
最後才改以 "不內建,要用請自行下載" 的方式處理
其實近年來 Mac OSX 的漏洞幾乎都是第三方 (大廠) 軟體造成的
它們修得慢,但被罵的是 Apple ....
--
(原文出處 http://www.oikos.com.tw/v4/viewtopic.php?id=72792 )
==============
這個指責其實是在為他們自己炒新聞,Flashback與其他幾個這兩年開始流傳的惡意軟體
,跟Windows病毒的傳染途徑根本不同。
1. 感染途徑:
A. Windows病毒可以從諸如Office檔案(非執行檔)感染電腦,或是只要一個檔案被感染
後,會開始自我複製,搜尋,修改其他本機甚至網路上的執行檔。
B. Mac的惡意軟體是由使用者自行下載,然後點選安裝,還要點選確認去執行,換句話
說,系統的保護措施都還在,並未被繞過,只是使用者確認執行的這個軟體的功能並不是
他會想要的,一旦執行後,系統的其他軟體也不會被修改,或蔓延到其他電腦。
2. 及時修正缺陷?
A. Windows,每個月發佈的安全更新,實際上你根本不知道這個安全問題存在多久了,
Microsoft其實用利誘(簽約合作),恐嚇(你在我修好前公布我就告你)與安全專家建立關
係。
B. Mac,你點進安全更新的說明,是哪個問題,以提報的編號去查其實查的到發現時間
的,卡巴斯基會這麼講,大概就是Apple不肯用MS的"利誘"方式堵他們的口而已。
再者,這次被質疑的Flashback用的Java漏洞的修復速度,其實對Apple而言並不公平,像
是:
http://news.networkmagazine.com.tw/classification/security/2012/04/18/39103/
=======================================
這項揭露肯定更加深了外界對蘋果公司在建立與釋出Java相關更新速度上的疑問,舉例來
說,根據彭博社新聞的報導,這個Java漏洞最早是由荷蘭軟體工程師Jeroen Frijters在
2011年7月所發現,同時他也將問題立即回報給甲骨文。但是據傳當甲骨文密切與微軟合
作為Windows撰寫修補程式時,蘋果公司卻傾向自行撰寫修正更新,這同時也延長了漏洞
修補程序的時間。
=======================================
像是類似的說法,其實根本搞錯了問題的所在,你可以發現這個問題從發現到被解決,
Oracle用了8個月(2月中旬修好的),MS或其他公司過去面對問題修正的時間常常也在半年
左右(Adobe最誇張,安全問題的修復可以用年來記錄,甚至公布了也不在意)。Apple並不
是要自行撰寫修正的更新,而是Oracle自行開發Windows/Linux/Solaris版的Java
runtime,而偏偏獨漏身為第二大平台的Mac OS,讓Apple必須等Oracle修正完後,才能就
Oracle公布的原始碼去修改自家的分支,一個半月,含修正及測試,其實並不是離譜的事
。
這也是為什麼去年Apple宣布不再自行移植新版的Java runtime,把維護Java runtime的
問題丟回給Oracle的原因,想要推Java,就請認真面對Apple已經不是昔日可以忽略的平
台,沒有理由要Apple投入額外資源替Oracle做這件事。把球丟回Oracle,這樣未來的問
題修正才可以即時。
嗯 .. 話說 Apple 很早以前就想跟 JAVA 分手了,可是它太重要 ....
最後才改以 "不內建,要用請自行下載" 的方式處理
其實近年來 Mac OSX 的漏洞幾乎都是第三方 (大廠) 軟體造成的
它們修得慢,但被罵的是 Apple ....
--
All Comments