導語：如果一個反病毒產品存在漏洞，你會怎么看這個安全廠商？廠商對漏洞的反應態度和速度又會對用戶和他自己產生什么影響？

核心信息：

1. 谷歌信息安全工程師Tavis Ormandy發現，英國安全公司Sophos反病毒產品存在關鍵漏洞，并預先與Sophos進行了溝通。

2. 一些漏洞能被遠程攻擊，并導致系統惡意代碼執行。PDF解析漏洞這種漏洞無需有用戶交互行為，無需認證，就可輕易轉化為自傳播病毒。

3. 對于Sophos對關鍵漏洞打補丁所耗費的時間，Ormandy并不滿意。

11月5日，谷歌信息安全工程師Tavis Ormandy發現，英國安全公司Sophos反病毒產品存在關鍵漏洞，他建議，避免在關鍵系統使用該產品，除非該安全廠商對產品加以改進。

Ormandy一份研究論文中披露了漏洞細節。他強調所表達的觀點僅代表他個人。

這份論文中包含了Sophos反病毒代碼的幾個漏洞細節，其中一些漏洞能被遠程攻擊，并導致系統惡意代碼執行。

Ormandy在論文中提到PDF解析漏洞，他說這種漏洞無需有用戶交互行為，無需認證，就可輕易轉化為自傳播病毒。

他在Sophos反病毒的Mac版本中發現了漏洞，同時提醒，漏洞也會影響該產品的Windows 和Linux版本，這一漏洞可能輕易地被轉化到那些平臺。

Ormandy認為，許多漏洞應該在產品開發環節就被找出來。

Ormandy將他的這些發現預先與Sophos進行了溝通，該公司針對這些漏洞發布了安全補丁。Sophos稱，作為一家安全公司，保證客戶安全是Sophos的首要責任。因此，Sophos專家對所有漏洞報告進行了調查，并在第一時間采取了相關措施。

Sophos首席技術顧問Graham Cluley 11月6日表示，Sophos在幾周內發布了補丁，并未影響到客戶日常的操作。Sophos感謝Tavis Ormandy發現了漏洞，這有助于Sophos的產品變得更好。

然而，對于Sophos對關鍵漏洞打補丁所耗費的時間，Ormandy并不滿意。他說，這事早在9月10日就已經報告給Sophos了。

Ormandy認為，正因如此，“復雜的由國家贊助的、目的明確的攻擊者可能會輕易地瓦解整個Sophos用戶根基。”

Ormandy表示，Sophos對攻擊的回應不夠快。如果攻擊者通過Sophos反病毒軟件作為進入用戶網絡的通道，Sophos在有些時候是不能防止他們的持續入侵的。如果你繼續選擇Sophos，就必須采取相應的意外事件處理計劃來應對這一場景。

編輯感觸：

1. 如果一個反病毒產品存在安全漏洞，那么對他的品牌會造成嚴重的負面影響。

2. 廠商對漏洞的反應態度和速度對用戶的態度將起關鍵作用，如果做不到位，無疑是雪上加霜。

3. 安全廠商需要想盡一切辦法避免漏洞存在，做好完備的測試和試用方案。

4. 廠商需要重視品牌的塑造，品牌就是瞬間聯想，一提起某個廠商，用戶瞬間想到的東西，那就是品牌，用戶不同的瞬間聯想，正面或負面，在某種程度上，會影響到廠商是否能走得長遠。