用户常不装补丁“裸奔” 黑客借Office漏洞入侵

　　2009年4月26日消息，美国网络安全公司Qualys表示，由于并非所有PC用户都会及时安装安全升级包，因此即使在补丁软件发布数月后，黑客仍然能利用缺陷兴风作浪。

　　据国外媒体报道称，Qualys的资料显示，5%-20%的系统从来没有安装过任何补丁软件。Qualys跟踪了微软2008年发布的4款补丁软件，发现相当数量的PC没有安装这些补丁软件，有些情况下微软发布补丁软件的时间已经超过一年。

　　微软对这4款补丁软件的安全评级为“危急”，其中包括2008年3月份发布的修正Outlook中一处缺陷的MS08-015，黑客可利用该缺陷诱骗用户访问恶意网站;2008年4月份发布的修正WindowsGDI中缺陷的MS08-021。

　　去年末，仍然有20%的PC没有安装MS08-021，有约5%的PC没有安装MS08-015。Qualys首席技术官沃尔夫冈·坎迪克表示，“很难搞清楚用户为什么没有安装补丁软件。我对此困惑不解，一些系统管理员在这方面做得很不好。他们可能不在意，或者没有足够的资源在所有PC上安装补丁软件”。

　　坎迪克指出，由于部分PC从来没有安装过补丁软件，因此恶意件总能得逞——即使是“过气”的恶意件，“很久以前的蠕虫病毒仍然能感染许多PC。”

　　Conficker 就是一个典型的例子。Conficker出现的时间并不长，它2008年11月份“诞生”，2009年1月份受到广泛关注，感染对象就是没有安装微软去年 10月份紧急发布的一款补丁软件的PC。即使在媒体大量报道有关Conficker爆发的消息后，上周仍然有近20%的PC没有安装MS08-067补丁软件。最新版Conficker仍然使用了原来的缺陷。

　　坎迪克警告，用户并非只不安装微软产品的补丁软件，Adobe的软件也经常“裸奔”，“Office和AdobeReader是受影响最大的产品。”