导语：如果一个反病毒产品存在漏洞，你会怎么看这个安全厂商？厂商对漏洞的反应态度和速度又会对用户和他自己产生什么影响？

核心信息：

1. 谷歌信息安全工程师Tavis Ormandy发现，英国安全公司Sophos反病毒产品存在关键漏洞，并预先与Sophos进行了沟通。

2. 一些漏洞能被远程攻击，并导致系统恶意代码执行。PDF解析漏洞这种漏洞无需有用户交互行为，无需认证，就可轻易转化为自传播病毒。

3. 对于Sophos对关键漏洞打补丁所耗费的时间，Ormandy并不满意。

11月5日，谷歌信息安全工程师Tavis Ormandy发现，英国安全公司Sophos反病毒产品存在关键漏洞，他建议，避免在关键系统使用该产品，除非该安全厂商对产品加以改进。

Ormandy一份研究论文中披露了漏洞细节。他强调所表达的观点仅代表他个人。

这份论文中包含了Sophos反病毒代码的几个漏洞细节，其中一些漏洞能被远程攻击，并导致系统恶意代码执行。

Ormandy在论文中提到PDF解析漏洞，他说这种漏洞无需有用户交互行为，无需认证，就可轻易转化为自传播病毒。

他在Sophos反病毒的Mac版本中发现了漏洞，同时提醒，漏洞也会影响该产品的Windows 和Linux版本，这一漏洞可能轻易地被转化到那些平台。

Ormandy认为，许多漏洞应该在产品开发环节就被找出来。

Ormandy将他的这些发现预先与Sophos进行了沟通，该公司针对这些漏洞发布了安全补丁。Sophos称，作为一家安全公司，保证客户安全是Sophos的首要责任。因此，Sophos专家对所有漏洞报告进行了调查，并在第一时间采取了相关措施。

Sophos首席技术顾问Graham Cluley 11月6日表示，Sophos在几周内发布了补丁，并未影响到客户日常的操作。Sophos感谢Tavis Ormandy发现了漏洞，这有助于Sophos的产品变得更好。

然而，对于Sophos对关键漏洞打补丁所耗费的时间，Ormandy并不满意。他说，这事早在9月10日就已经报告给Sophos了。

Ormandy认为，正因如此，“复杂的由国家赞助的、目的明确的攻击者可能会轻易地瓦解整个Sophos用户根基。”

Ormandy表示，Sophos对攻击的回应不够快。如果攻击者通过Sophos反病毒软件作为进入用户网络的通道，Sophos在有些时候是不能防止他们的持续入侵的。如果你继续选择Sophos，就必须采取相应的意外事件处理计划来应对这一场景。

编辑感触：

1. 如果一个反病毒产品存在安全漏洞，那么对他的品牌会造成严重的负面影响。

2. 厂商对漏洞的反应态度和速度对用户的态度将起关键作用，如果做不到位，无疑是雪上加霜。

3. 安全厂商需要想尽一切办法避免漏洞存在，做好完备的测试和试用方案。

4. 厂商需要重视品牌的塑造，品牌就是瞬间联想，一提起某个厂商，用户瞬间想到的东西，那就是品牌，用户不同的瞬间联想，正面或负面，在某种程度上，会影响到厂商是否能走得长远。