沒有什麼是絕對安全的，我們永遠不會消除所有的漏洞。但我們不應該像2017年看到的惠普、蘋果、英特爾和微軟那樣草率犯錯。

請，電腦**商：花時間在無聊的工作上，使我們的電腦安全。我們需要的是安全，而不是閃亮的新功能。

蘋果在macos上留下了一個巨大的漏洞，但在修補上做得很糟糕

如果今年是另外一年，人們會把蘋果的mac作為PC混亂的替代品。但現在是2017年，蘋果犯了最業餘、最草率的錯誤，讓我們從這裡開始吧。

相關：巨大的macOS錯誤允許Root使用者無需密碼登入。這是解決辦法

蘋果最新版本的macOS被稱為“High Sierra”，它有一個巨大的安全漏洞，使得攻擊者可以快速以root身份登入，只需在沒有密碼的情況下嘗試登入幾次就可以完全訪問你的電腦。這可以透過螢幕共享遠端實現，甚至可以繞過用於保護檔案的FileVault加密。

更糟糕的是，蘋果匆忙推出的修補程式並不一定能解決問題。如果你後來安裝了另一個更新（在發現安全漏洞之前），它會重新開啟蘋果的補丁沒有包含在任何其他作業系統更新中的漏洞。因此，這不僅是High Sierra一開始就犯下的一個嚴重錯誤，而且蘋果的反應雖然相當迅速，但卻是一團糟。

這是一個難以置信的嚴重錯誤，從蘋果。如果微軟在Windows上有這樣的問題，蘋果的高管們將在未來幾年的演示中對Windows大加指責。

蘋果在Mac電腦的安全聲譽上徘徊太久了，儘管Mac電腦在某些方面仍然不如Windows PC安全。例如，Mac仍然沒有UEFI安全引導來防止攻擊者篡改引導過程，就像Windows PC自Windows8以來所做的那樣。默默無聞的安全不再是蘋果的專利，他們需要加強這一點。

惠普的預裝軟體真是一團糟

相關：如何檢查您的HP膝上型電腦是否有Conexant鍵盤記錄器

惠普今年的表現並不好。我個人在膝上型電腦上遇到的最嚴重的問題是Conexant鍵盤記錄器。許多HP膝上型電腦附帶了一個音訊驅動程式，可以將所有按鍵記錄到MicTray.log檔案檔案，任何人都可以檢視（或竊取）。這是絕對瘋狂的，惠普不會捕捉到這個除錯程式碼之前，它在個人電腦上釋出。它甚至沒有隱藏它正在積極建立一個鍵盤記錄檔案！

惠普的個人電腦也出現了其他不太嚴重的問題。惠普Touchpoint Manager的爭議並不像很多媒體宣稱的那樣完全是“間諜軟體”，但惠普未能就這一問題與客戶溝通，Touchpoint Manager軟體仍然是一個無用的、佔用CPU的程式，對於家用電腦來說是不必要的。

最重要的是，惠普膝上型電腦還預設安裝了另一個鍵盤記錄器，作為Synaptics觸控板驅動程式的一部分。這一點並不像Conexant那麼荒謬，它在預設情況下是停用的，沒有管理員訪問許可權也不能啟用，但如果攻擊者想對HP膝上型電腦進行金鑰記錄，它可以幫助他們逃避反惡意軟體工具的檢測。更糟糕的是，惠普的迴應暗示，其他PC**商可能有相同的驅動程式和相同的鍵盤記錄器。因此，這可能是整個PC行業的一個問題。

英特爾的祕密處理器中的處理器充滿了漏洞

英特爾的管理引擎是一個封閉原始碼的黑匣子作業系統，是所有現代英特爾晶片組的一部分。所有的個人電腦在某些配置上都有英特爾管理引擎，即使是現代的Mac電腦。

儘管英特爾顯然是默默無聞地推動安全性，但今年我們在英特爾管理引擎中看到了許多安全漏洞。2017年早些時候，存在一個允許無需密碼即可進行遠端管理訪問的漏洞。謝天謝地，這隻適用於激活了英特爾主動管理技術（AMT）的PC，因此不會影響家庭使用者的PC。

不過，從那以後，我們看到幾乎每臺電腦都有大量其他安全漏洞需要修補。許多受影響的電腦至今仍未釋出修補程式。

這尤其糟糕，因為英特爾拒絕讓使用者使用UEFI韌體（BIOS）設定快速禁用英特爾管理引擎。如果你有一臺裝有英特爾ME的電腦，**商不會更新它，那你就走運了，你的電腦永遠都是易受攻擊的……好吧，直到你買了一臺新的。

英特爾急於推出自己的遠端管理軟體，即使在電腦關機的情況下也能正常工作，他們引入了一個有趣的目標，讓攻擊者妥協。針對英特爾管理引擎的攻擊幾乎可以在任何一臺現代PC上使用。2017年，我們將看到這一攻擊的第一個後果。

即使是微軟也需要一點遠見

相關：如何禁用SMBv1和保護您的Windows PC免受攻擊

可以很容易地指出微軟，並說每個人都需要學習微軟的可信計算計劃，它始於WindowsXP時代。

但即使是微軟今年也有點馬虎。這不僅僅是一個普通的安全漏洞，比如WindowsDefender中的一個討厭的遠端程式碼執行漏洞，而是微軟應該很容易看到的問題。

2017年令人討厭的WannaCry和Petya惡意軟體流行都是利用古老的SMBv1協議中的安全漏洞傳播的。每個人都知道這個協議是舊的和易受攻擊的，微軟甚至建議禁用它。但是，儘管如此，它仍然在Windows10上預設啟用，直到秋季Creators更新。它之所以被禁用，是因為大規模的攻擊促使微軟最終解決了這個問題。

這意味著微軟非常關心傳統的相容性，它會讓Windows使用者受到攻擊，而不是主動禁用很少有人需要的功能。微軟甚至不需要刪除它只是在預設情況下禁用它！組織可以很容易地為遺留目的重新啟用它，家庭使用者也不會受到2017年兩大流行病的影響。微軟需要先見之明，在這些功能引起如此嚴重的問題之前，將它們刪除。

當然，這些公司並不是唯一有問題的公司。2017年，聯想終於與美國聯邦貿易委員會就在2015年在個人電腦上安裝“超級魚”中間人軟體達成和解。戴爾還在2015年釋出了一個根證書，允許中間人攻擊。

這一切似乎太多了。是時候讓每個人都對安全問題更加認真了，即使他們不得不推遲一些閃亮的新功能。這樣做可能不會佔據頭條新聞…但它會阻止我們誰也不想看到的頭條新聞。

圖片來源：ja images/Shutterstock.com網站，百葉窗/Shutterstock.com網站