我为什么不装Windows的安全补丁

转载：http://blogs.technet.com/b/secure/archive/2008/03/28/ie-and-why-i-do-not-install-security-updates.aspx

作者：大牛蛙

 

        这个问题之后的牢骚我听过的有很多种，比如补丁太多占满磁盘空间，安装后系统变慢甚至不能使用，或者“补丁可能带来新漏洞”等等个人体验和血的泪的的教训，不一而足。我在这里不能一一做纠正或者解答，何况补丁本身不是我设计的。但需要说明，或者说需要承认的一件事是，有一些微软安全更新可能真的同时具有一堆毛病：

• 做的事情和自己的体积不成比例；
• 可能根本就没有从根本上解决问题；
• 更可能安装后一些程序不能用了；
• 也没看见微软修补这些补丁带来的“错误”；
• ……

        这些安全更新的一个典型，就是IE的补丁。如果你使用某些预装Windows系统的品牌机，或者因工作或者其他需要安装过一些Active X控件，可能在安装过IE补丁后，某些程序不能使用了---因为IE的安全更新永久地Kill Bit了它们---只不过是修改了一个注册表项，而且根本没实际解决什么CVE上讲的上溢下溢左溢右溢前溢后溢等问题。为什么会这样？大部分是因为Active X的厂商“请求”被咔嚓的，也就是说这些有问题的控件的终身代号CLSID9527，东家已经不用了，东家没有“渗透到桌面的、烦人的”Update提醒，所以只能借助微软Update之手咔嚓，如果还想用这些被咔嚓的软件，就得找东家的网站去下载更新了，随便举个例子比如MS07-045中的Lenovo。当然还有一部分的Active X被咔嚓的原因是事实上已经不再被Support了，与其留着不管不问，不如咔嚓掉，再比如MS07-045中的ouactrl.ocx。

我们还是得尽早安装每个月的安全更新，哪怕它的确很讨厌