你怎麼看微軟宣布修復了一個存在了 19 年的安全漏洞？

01-15

微軟修復已存在19年的漏洞 - 騰訊科技
近日，各大網站，包括新浪、騰訊、網易、搜狐都報道了一則關於微軟宣布修復了一個存在了19年的安全漏洞的新聞，以內行人的眼光是怎麼看待這件事情的？

利益相關：4年SharePoint相關軟體測試經驗。平時的測試環境全是微軟產品。

轉載請註明作者，出處。

————————————第一次編輯————————————

本來這個問題很平常，在我眼裡並不值得上新聞。只不過由於微軟軟體壽命太長，樹大招風，媒體搞了個噱頭就上，完全不管這種做法會不會誤導大部分對軟體不懂的網民。輪子哥在這道題下也調侃的回答了一下，但是評論里有人勸他避嫌……所以我忍不住要出來為微軟洗個白，希望外行們看完之後能夠理解：這事其實挺正常。

輪子哥點贊了，幸福。所以編輯下排版。

————————————排版結束—————————————

先拋結論：我不愛以陰謀論揣測別人。認為這是微軟留的後門現在不需要就修復了的人可以不看我的回答。我認為這個漏洞是才被發現的，只不過存在了19年。微軟把它修復了，在國內還成了一個新聞，說明了兩件事：第一，微軟是個負責任，靠譜的大公司。第二，媒體老想搞個大新聞。

作為一個不太懂代碼的黑盒測試，非微軟員工，我也不知道我說的這些是不是適用於微軟，我只是根據我的工作經驗分析一下：

1. 理論上所有需要修復的漏洞（bug）都應該是測試人員發現的。開發寫完代碼就能發現的問題基本不會出現到內部迭代用的測試版本里。大部分bug，如果測試人員不發現，那麼開發人員就根本不知道有這樣的bug。

2. 測試人員的任務，不是發現所有的bug，而是優先發現軟體在正常使用中會出現的bug，保證軟體按照正常正確的使用方法不會出現問題，再去考慮其它的極端情況。無論是黑盒還是白盒測試，測試用例都應該優先保證：正常操作沒問題。

3. 微軟的操作系統，存在19年的漏洞，有沒有可能？非常有可能。但是這不能說明微軟的測試和開發水平很低。從第一點可知，開發很可能根本不知道有這樣的漏洞。從第二點可知，這個漏洞可能需要經過及其複雜的操作才能發現，根本不在測試人員的測試用例里。很可能是測試人員在擴展測試時無意中發現的。測試人員發現這種bug，往往是運氣，和技術關係不大。

4. 有人會說，如果測試人員的測試用例發現不了問題，需要擴展測試才能發現問題，那測試用例還有什麼用？第一，測試用例能夠發現的問題，基本會在產品發布前就被解決。或者很快被更新補丁解決。所以它有多大的用，用戶完全不知道。第二，測試用例的基本作用，是保證產品發布之後，正常使用不出問題。@李樂的答案里就舉了這樣的例子：可能有些bug是需要「點2014次開始按鈕後再打開11次OUTLOOK，再連續發15次郵件」才能出現，這種操作顯然不是正常使用，對於測試人員來說，也是一個測試需求很低的操作。簡單的說就是：測試人員的時間有限，要把精力放在更重要的測試用例上。如果這樣的操作都需要加到測試用例里，那麼測試用例將會無窮大，測試人員也不可能執行完所有的測試用例。

5. 微軟的每個產品，hotfix和SP版本都發布的非常多，而且我在使用時遇到的絕大多數問題都能在TechNet上找到解決方案，我作為一個普通用戶能夠感受到它對客戶的誠意（順便介紹個小技巧：在TechNet上搜索到的結果，如果是英文界面看不懂的話，可以把URL里的en-us改成zh-cn，會變成中文版）。一個bug存在了19年，微軟默默的把它修復了，沒有繼續放任，我覺得很給力。

6. 在IT圈子裡雖然不常見但也算是可以理解的一件事，到媒體這就成新聞了。客觀的說，這篇新聞的描述中規中矩，沒有刻意的黑微軟，也解釋了bug壽命長的原因。但是標題和摘要，還是讓我很不爽：該漏洞存在19年，可讓黑客遠程操控電腦，十分危險。微軟多年的hotfix比不上這一句話給外行人造成的不信任感。實際上正如輪子哥 @vczh 和 @李樂所說的，這漏洞過了19年才被發現——不管是被測試人員發現還是被使用者or黑客發現——本身就說明這漏洞沒那麼可怕：後果很危險，但是發現很困難。舉個不恰當的例子：有新聞報道有人喝水嗆死了，就會有網友驚呼：原來喝水都能嗆死人！我都喝了20年水了，太可怕了！我以後盡量少喝水，盡量用吸管喝……

打了這麼多字，咖啡都涼了。希望大家給個贊吧~

誒？我的吸管呢？

只說了存在了19年，沒有說發現了19年！如果發現了19年才改才能說明微軟有問題。

只說了後果很嚴重「可以讓黑客遠程操控電腦，十分危險。」，但沒有說bug出現的可能性有多大！脫離概率，只說後果，來評價bug的風險就是耍流氓！

軟體存在bug是很正常的啊，有bug不一定代表一定會出錯，只是說在某種情況下出錯。這種情況可能極其罕見。我們評價軟體失效的風險時候，一般要用後果和概率綜合來評價。比如說這個bug後果很嚴重，但可能出現的可能性極低。舉個栗子，可能只有在你點2014次開始按鈕後再打開11次OUTLOOK，再連續發15次郵件才能出現問題，你覺得有多大風險？

利益相關：2年SharePoint相關軟體測試經驗。平時的測試環境全是微軟產品

好像暴露了什麼

只能說現在的媒體太無良

這事從本質上看和最近那個醫生手術後拍照的新聞一個效果

就是引導輿論

從韓劇匹諾曹里學到的就是

只注重影響力不注重事實

類似事件還有醫生拒絕給產婦手術無良醫院

原因呢可能是產婦的老公曾經在醫院裡破馬張飛的對護士拳打腳踢

也可能是他之前拒絕醫生的建議而且十分蠻橫後來發現妻子挺不住實在不行才不情願的統一

也可能是之前出的產婦羊水栓塞事件

背後的真相呢

呵呵

就像 @一頁書的舉例有新聞報道有人喝水嗆死了，就會有網友驚呼：原來喝水都能嗆死人！我都喝了20年水了，太可怕了！

也有新聞報道說上廁所玩手機有人變成植物人

【廁所玩手機成植物人】小伙上廁所玩手機暈倒成植物人十大猝死惡習盤點

怎麼辦以後上廁所不能愉快的看小說了呢

這踏馬都是不要臉的標題黨！！！！

微軟這個bug只說可能讓黑客遠程自己的電腦

重現步驟重現幾率呢

脫離這些只說微軟有bug 媒體居心何在

答案里已經有人一陣陣發涼了

貝加爾湖畔，蘇武牧羊十九年。

十九年間，匈奴單于死了，漢武帝掛了，比爾蓋茨做慈善了，鮑爾默當快船的老闆了，Google，Facebook崛起了，諾基亞不做手機了，Apple死了又活了。

十九年後，蘇武回家了，bug也fix了。

守望塵世十九年，Bug，一路好走。

這漏洞我來到現在都沒修，也有可能是修了幾次還是不行

@vczh是不是你還在這邊的時候就一直有這個漏洞？

（逃

一樓做 testing 的說說黑盒測試就好了。請不要裝作「軟體測試專家告訴你真相：測不出bug非常正常」好么？

微軟確實是測試人員配置比很高，據說有項目能配置到一個 SDE 配兩個 STE。但黑盒測試永遠只是測試的一部分，對 GUI 程序可能比較重要，對其它領域，黑盒這種粗粒度的測試基本是很靠後收尾性質的。真正細粒度的是白盒 UT，是 security testing。這些都是程序員或者專門的安全人員做的，而不是隨便一個沒有開發經驗的「測試人員」就可以搞定的。所以，一個安全問題留了 19 年，要麼是 security auditing 有問題，要麼是 UT 覆蓋沒做好。

坐等被折。

宣布個毛線，直接修復了不就得了，害得知乎上可能又要開戰。

19年都不修證明壞人也沒發現啊（逃

不是內行人。

當一個 Bug 存在了十九年之後，就不再是一個 Bug 了，而是變成了 Feature :p 。而且這種 Bug 不是每個公司每個產品都能有的，首先你得有個十九年之後還處於壟斷地位的產品，所以各位請帶著敬意去吐槽吧。

看著吧，這個地方還會出大bug，設計vbs既能在系統里運行又能在瀏覽器里運行那一刻已經決定了

不信問@tombkeeper

19年前的BUG到現在才發現，那還修個毛啊？早就已經被實踐證明這不是問題了，弄不好還有人把他當成特性，在此基礎上開發別的東西了！

總之，ms又不務正業了！趕緊干點正事吧！啥時候把win8的輸入法問題解決了讓win8成為一個可用的系統才是正理，整天搞這種沒用的里個冷有個p用！

——你一定是希望這種意見吧

首先大家，不要覺得漏洞就像床單上被煙頭燙過的小洞，通常bug是這樣的，如果這樣AA，再那樣bb，然後再那樣CC，繼續那樣dd，然後再那樣ee... 你想不到的無數個分支後的一種情況，其中還夾雜著各種環境因素。

這BUG到底是啥，有人關心么？

參考這個文章：http://www.zhihu.com/question/27269086

章是時間單位，通常是19年。
十九歲為一章。
四章為一蔀。七十六歲。

二十蔀為一遂。遂千五百二十歲。
三遂為一首。首四千五百六十歲。
七首為一極。極三萬一千九百二十歲。
——《周髀算經》

這說明微軟的安全質量進入了新篇章啊！

正常。只能證明程序有bug，不能證明程序沒有bug。

這體現了微軟的勇氣啊！

這個... 確定不是微軟故意炒的么? xp停止更新了就出大漏洞了, 淺台詞是不是用xp的快尼瑪掏錢換win7/8!!!!!

有句話叫做，這世上沒有不存在bug的程序，現實點，在任何時候，十萬行代碼以上的程序是不可能沒有bug的，哪怕過了五十年。因為修改bug也可能產生新的bug。

我記得前幾天我發現一個某奢侈品網站bug

先打開第一個下拉菜單選擇某指定項，然後打開第二個下拉菜單選擇某指定項。然後回到第一個下拉菜單選擇另一個項目。然後有一條應該發送一次的信息會自己發送三次。

我給他們報告了這個bug。然後根本沒人理我。

我是來給你們看評論的。至少也能代表一部分人的真實想法。

不怎麼看，一個久遠的Bug被發現然後就修復很正常，就是漏洞細節曝光後中國盜版XP用戶可能有危險。