Windows 帮助漏洞披露

大家好，

我们注意到一个公开披露的漏洞影响了Windows XP和Windows Server 2003。目前我们未发现此问题被利用，运行Windows Vista、Windows 7、Windows Server 2008和Windows Server 2008 R2的客户不受此漏洞影响，也无攻击风险。

此问题于2010年6月5日由一位Google安全研究员报告给我们，然后在不到四天后的2010年6月9日公开披露。公开披露此漏洞的细节和利用方法，未给我们时间为潜在受影响的客户解决问题，增加了广泛攻击的可能性，并使客户面临风险。

我们和行业内的许多其他方倡导负责任披露的主要原因之一是，编写代码的软件供应商最了解根本原因。虽然这是Google研究员的一个好发现，但分析并不完整，且Google建议的实际解决方法很容易被绕过。在某些情况下，需要更多时间来开发一个全面的更新，该更新不能被绕过，且不会引起质量问题。

我们认识到整个行业的研究人员是识别问题和持续改进安全性的重要部分，我们继续要求研究人员通过负责任披露与我们合作，以帮助最小化客户风险，同时提高安全性。

我们已启动紧急响应流程，并将继续监控威胁环境，寻找任何针对此问题的攻击迹象。我们的Microsoft Active Protections Program (MAPP)合作伙伴拥有此漏洞的详细信息，并在可能的情况下开发保护措施。

更新：客户可以遵循安全公告2219475中的指导来保护自己免受此问题影响。

更新于2010年6月25日： 披露此漏洞的安全研究员对其雇主名称与此漏洞相关联表示担忧。尽管意见仍有分歧，我们在此博客文章中包含了该研究员的观点和我们的观点。他的观点是，他报告漏洞不是作为员工，而是作为独立研究员的个人行为。

在微软，我们认为将两者分开是不可行的。我们认为员工的行为，当与他们所在技术公司的工作相关时，应反映其雇主的政策。

尽管存在这些意见分歧，我们继续与该研究员保持开放对话，并要求安全研究员社区继续与我们合作，以帮助保护客户。

Mike Reavey
MSRC总监