在動(dòng)畫光標(biāo)(ANI)漏洞鬧得滿城風(fēng)雨之后，不少安全專家都對(duì)微軟發(fā)布安全補(bǔ)丁的方式提出了質(zhì)疑，并建議微軟重新考慮關(guān)鍵級(jí)補(bǔ)丁的發(fā)布方式。

　　Determina安全專家Nand Mulchandani早在去年就發(fā)現(xiàn)了ANI漏洞，并于12月份向微軟提出報(bào)告，但微軟一直沒有行動(dòng)，直到攻擊泛濫才拿出補(bǔ)丁，結(jié)果還導(dǎo)致了不少問題。

　　他說:“問題是，每次都要等到一個(gè)超級(jí)星期二才修補(bǔ)高危漏洞，這樣對(duì)公眾更有利么?我們對(duì)微軟的建議是，一旦知曉高危漏洞，就設(shè)法提前行動(dòng)，不要等到超級(jí)星期二(Patch Tuesday 補(bǔ)丁日)再有所動(dòng)作。”

　　微軟則有自己的看法和做法，其安全響應(yīng)小組的Mike Reavy回應(yīng)說:“這個(gè)(ANI漏洞)事件的處理方法和我們對(duì)待所有漏洞報(bào)告是一樣的。在得到報(bào)告后，我們必須等到能夠重現(xiàn)問題，才能采取進(jìn)一步行動(dòng)。我們也想走捷徑，比如免去質(zhì)量測(cè)試，但這樣匆忙把補(bǔ)丁交給用戶等于在拿用戶的利益冒險(xiǎn)。”

　　具體到ANI問題，微軟在McAfee報(bào)告攻擊出現(xiàn)后的四天就發(fā)布了安全公告，隨后鑒于情況危急就提前發(fā)布了補(bǔ)丁，這得到了不少業(yè)界人士的認(rèn)可，不過也許是行動(dòng)過于倉(cāng)促、測(cè)試不夠完整，安全補(bǔ)丁與其他程序產(chǎn)生了不少?zèng)_突。

　　在微軟看來，對(duì)付此類事件需要做的工作很多，修復(fù)漏洞是一方面，確保不帶來更多問題也不容忽視。