安全分析师为什么会对捆绑的第三方软件感到紧张有一个很好的理由:它可以引入公司无法控制的漏洞。而不幸的是,微软已经学会了这个艰难的道路。 Google研究人员Tavis Ormandy发现,windows10映像与第三方密码管理器Keeper捆绑在一起,它带有明显的浏览器插件漏洞 - 恶意网站可能会窃取密码。 Ormandy的副本是针对开发人员的MSDN映像,但Reddit用户指出,他们在收到常规副本的干净重新安装以及全新笔记本电脑后,收到了Keeper的易受攻击副本。
微软的一位发言人告诉Ars Technica说,Keeper团队已经修补了这个漏洞(为了回应Ormandy的私密泄露),所以如果你的软件是最新的,这应该不成问题。而且,如果您启用了插件,则只会暴露给您。
然而,这个漏洞的存在仍然引起了人们的担忧:微软的安全测试是否像第三方应用程序一样彻底?该公司拒绝发表评论,但如果微软要维持Windows用户的信任,那么这种筛选可能至关重要。如果捆绑的应用程序破坏了一切,那么微软的代码有多安全并不重要。
相关文章
网友评论(共有 0 条评论)
