微軟2日發布「設定調整」更新程式,以修補Windows電腦遭Download.Ject鑽入的漏洞。問題是,使用者上微軟網站下載程式時,卻不知從何找起。
微軟呼籲Windows XP、Windows Server 2003和Windows 2000作業系統的使用者儘速上網下載修補程式。已安裝Windows XP更新服務包第二版(SP2)的電腦,則已受到保護,安全無虞。
最新的事件顯示,惡意程式一旦來襲,反應時間有限。從惡意程式在網際網路上現形,到軟體公司發布修補程式和設定調整程式之間,可能只隔幾天,甚至幾個小時。
就這個例子而言,微軟說,設定調整程式在該公司網站上「現在已可取得」,2日稍後也會透過Windows更新(Windows Update)網站提供。
微軟的用意,是試圖限制惡意程式作者檢視修補程式進而撰寫、散布惡意程式的時間長短,以免更多來不及防護的系統再遭攻擊。但整個過程顯示微軟疏忽細節,而這是更嚴重的問題,因為那暴露出微軟「可信賴咚恪褂嫯嫷拇笕毕荨
2日早晨9時,微軟網站公告,Windows更新服務會在當天稍後提供修補程式。迫不及待想下載的使用者,被導引至微軟的下載中心(Download Center)。
但點選連結後,使用者來到一個網頁,卻找不到微軟聲稱就在此處的修補程式。該網站列出最受歡迎的下載程式,但卻未提供清楚的標示,比方說:「欲下載Download.Ject防護程式者,請點選此連結!」
找到新修補程式的唯一希望,是往「更多熱門下載」連結去找。點選之後,瀏覽一下整個清單,我還是不知道究竟哪一個下載程式可能是我要找的。拜託,至少應該標註日期吧!
又氣又餒,我嘗試在關鍵字搜尋列中輸入「Download.Ject」,心想一旦按下「確定」鍵,搜尋結果總會指引個方向。結果還是一無所獲。
本文截稿前,微軟尚未說明為何公告一個讓人遍尋不找的修補程式。但微軟的確提供一個連結,可直接導向下載程式,只不過那又牽扯出另一個問題。
微軟未標示Download.Ject或「按鍵側錄」這類描述字眼,讓使用者一目了然。那個直達網頁是為軟體開發者而設,新修補程式命名為「微軟資料存取元件重大更新-自Internet Explorer解除ADODB.Stream物件(KB870669)」。微軟在這個更新程式的描述文字中,也未提到比較滐@易懂的關鍵字。
微軟這次的應變過程,令人對「可信賴咚恪褂嫯嫷挠^感不佳,覺得微軟面對嚴重威脅時,在細節的處理上粗枝大葉。要提振使用者的信心,微軟必須更用心,在修補程式發布前先確定是否已準備妥當,否則不要貿然宣布。微軟也應該設計一目了然的路標,讓一般使用者和Windows系統管理員能儘快找到並下載最迫切需要的更新程式