深入解析安全公告967940更新

大家好！我是Adam Shostack，TWC安全部门的项目经理，今天我想谈谈关于AutoRun更新的相关内容。通常我在SDL博客发布文章，但最近我一直在对Windows计算机遭受攻击的方式进行分类和量化分析。从分析中凸显的一个现象是，相当比例的受感染机器都携带通过AutoRun传播的恶意软件。

您可能注意到这个句子有些绕口，我为此表示歉意。为什么我不能直接说"因AutoRun而感染"？因为我们实际上无法确定这一点。由于问题的性质，很可能无法获得关于通过滥用AutoRun成功发起的攻击数量的准确数据。我们所知道的是，大量恶意软件将AutoRun作为多种传播机制之一，这一点我们在去年秋季发布的第9期安全情报报告中已经讨论过。

考虑到AutoRun确实存在的正当用途，我们不想在没有充分沟通的情况下直接关闭该功能。另一方面，我们认为应该采取行动来阻止其滥用。

2009年4月，我们向Windows生态系统发出了一个非常公开的信息：我们将以提升安全性的方式改变AutoRun的行为。我们在2009年4月发布了《Windows 7中的AutoRun变更》博文，记录了这一过渡进程。2009年11月，我们发布了《AutoPlay Windows 7行为向后移植》的文章，并为旧操作系统提供了相同的更新。我们将该更新放在下载中心供用户自行下载。

我们的合作伙伴对这一变更表达了关切，但总体上理解了其原因。过去几年中，需要该功能的公司已将U3功能集成到其设备中。其他公司则记录了这一变更。总体而言，这一过渡并不简单，但确实有效。

今天，我们正在采取另一个重要步骤来保护客户。我们将现有的更新纳入Windows Update渠道。这一变更产生三个重要影响：

• 我们将现有更新交付给更多计算机；
• 通过WSUS更易于部署；
• 帮助那些仅广泛部署WU中更新的组织。

我们将此标记为"重要，非安全更新"。将之称为"非安全更新"可能有些奇怪，特别是因为我们将其与2月公告一起发布。但在微软，我们保留"安全更新"一词来表示"针对产品特定安全相关漏洞的广泛发布的修复程序"。将AutoRun称为漏洞会很奇怪——该术语通常用于指允许某人违反系统安全性的意外功能。但AutoRun并非意外，它是设计使然，正如我提到的，我们关心该功能的实际正当用途。换句话说，从实际意义上讲，这不是错误，而是功能，我们也是如此记录的。

这也不是安全更新，因为安全更新旨在修复问题及其所有已知变体。当"问题"是一个按设计使用的功能时，这就更成问题，因此此更新不会完全关闭该功能。例如，它不会影响包含AutoRun文件的"闪存媒体"，如CD或DVD。我们知道有人可能编写恶意软件来利用这一点，但我们尚未在野外看到这种情况。（我们也认为闪存媒体上的恶意软件不太可能产生广泛影响，因为人们刻录CD的频率低于插入USB驱动器的频率。）

基于过去22个月的学习和在SIR中的分享，现在是向广大用户提供此更新的合适时机。（MMPC博客今天对此更新的这一方面有更深入的见解。）同时，我们知道有些客户更喜欢现有的AutoRun功能，并希望撤销此效果。因此我们提供了一个可实现此目的的Fix It工具。

改变运行系统的行为从来都不是小事，我们极其认真地对待它。如果让人们认为必须在安全和其他方面做出权衡，那将是一个糟糕的结果。针对漏洞的保护更新是保持系统安全的重要组成部分。我们必须非常确信这一改变对大多数人来说是恰当的平衡。

Adam