微软发布最近一个漏洞补丁用了200天，安全性研究人员批评微软的反应迟缓，同时他们对于微软需要面临如此众多的安全性问题表示同情。

　　6个多月，是微软开始其“可信赖计算”项目两年来发布一个漏洞补丁所花费的最长时间。安全性研究机构eEye Digital Security的首席安全官员Marc Maiffret表示，这让人对于微软在安全性方面的努力产生了质疑。“如果微软真的需要如此长的时间编写补丁并进行技术测试，那么他们肯定有其它问题。”“这不是运作一个软件公司的方式。”

　　周二，微软发布了一个补丁程序，用以修复一个网络部件的安全漏洞，这个网络部件普遍存在于Windows NT、Windows 2000、Windows XP以及Windows Server 2003等版本。这一安全漏洞允许攻击者损害运行上述系统的电脑，而蠕虫病毒可以利用该漏洞感染大量连接到互联网的系统。

　　eEye于去年7月25日第一次向微软通报了这一安全漏洞，然后在9月25日再次通报微软类似问题。但微软直到本周才发布补丁程序，这已经距发现第一个漏洞200天。

　　微软则为自己对安全性问题的反应进行辩护。“可信赖计算”项目高级主管Jeff Jones表示，修补漏洞的每一步骤针对不同的安全问题需要的时间也不同，包括安全漏洞的发现、证实、以及补丁程序的编写和测试。“如果我们的目标是在30或者60天内作出所有东西，我们能够做到。”“但我们的目标是得到高质量的补丁程序。”

　　其他一些分析师也认为200天虽然很长，但还不足以说明微软的安全战略存在问题。安全性机构@Stake研发副总裁Chris Wysopal表示，“无论修补的过程有多久，人们总是认为可以更快的完成。”“但几个月的时间是确定需要的，因为他们要对许多版本的操作系统以及大量的大型应用程序进行测试。”

　　这次修补的漏洞存在于微软的基本网络协议ASN.1。微软网站提供的安全建议表示，许多Windows应用程序共享ASN.1代码，而这些漏洞允许远程用户控制尚未安装补丁的计算机系统。该建议提醒，如果攻击者能够接入局域网，那么利用这些漏洞将更加容易。

　　这类广泛存在的安全漏洞对于诸如冲击波等蠕虫病毒的作者具有极大的诱惑力。微软安全反应中心高级项目经理Stephen Toulouse表示，之所以发布这一补丁花费这么久的时间，原因在于该技术的应用过于广泛。“对于Windows本身...ASN.1确实是一项极深入的技术。”“这项调查需要我们对多个不同的方面进行评估。这真正说明了我谨慎处理问题的态度。”

　　当然，问题的复杂性还不是完全充分的理由。另外一个影响更多公司的ASN.1漏洞5个月内就得到解决。虽然在微软发布这一漏洞之前，相关信息已经被泄漏，但许多公司没有等待很长时间就获得了补丁。这一漏洞使得使用第一版SNMP（Simple Network Management Protocol，简单网络管理协议）的网络设备容易遭受攻击，从而使系统变得不稳定、崩溃或者遭受损害。SNMP协议是一个数据语言，允许网络硬件通过互联网进行对话。

　　一些研究人员相信，微软的精力可能被其它安全漏洞问题分散，比如一个IE浏览器的漏洞。这一漏洞允许将虚假站点伪造成类似真正存在的公司的网站。而如果微软不能立即修补这类漏洞，将成为大众批评的目标。安全性软件制造商 PivX Solutions高级安全研究员Thor Larholm表示，这类批评可能使微软将精力集中在了本不应该优先考虑的问题。“微软依然将一些安全漏洞当作公共关系问题对待，”Larholm说，“他们将优先修补那些客户正在抱怨的安全漏洞。”

　　这一小漏洞在大约60天内就得到解决，微软在一个星期前已经发布了补丁程序。

　　对于eEye，结果却完全不同。该公司不得不采取其它手段让微软对他们通报的漏洞加以重视。他们通过发布一个安全漏洞列表引起微软的注意。这一列表中的漏洞都是eEye通报给微软，而微软尚未修补的地方。

　　在这个列表上，我们发现还有两个严重的安全漏洞尚未修补，而eEye第一次向微软通报这些漏洞已经5个月。

　　现在，eEye的Maiffret只好等待微软采取新的策略。“仅仅是一步行动的问题，”他说，“如果他们不加紧行动，我们计划采取更多措施。”