比特网ChinaByte 11月7日编译报道 11月5日，谷歌信息安全工程师Tavis Ormandy发现，英国安全公司Sophos反病毒产品存在关键漏洞，他建议，避免在关键系统使用该产品，除非该安全厂商对产品加以改进。

　　Ormandy一份研究论文中披露了漏洞细节。他强调所表达的观点仅代表他个人。

　　这份论文中包含了Sophos反病毒代码的几个漏洞细节，其中一些漏洞能被远程攻击，并导致系统恶意代码执行。

　　Ormandy在论文中提到PDF解析漏洞，他说这种漏洞无需有用户交互行为，无需认证，就可轻易转化为自传播病毒。

　　他在Sophos反病毒的Mac版本中发现了漏洞，同时提醒，漏洞也会影响该产品的Windows 和Linux版本，这一漏洞可能轻易地被转化到那些平台。

　　Ormandy认为，许多漏洞应该在产品开发环节就被找出来。

　　Ormandy将他的这些发现预先与Sophos进行了沟通，该公司针对这些漏洞发布了安全补丁。Sophos称，作为一家安全公司，保证客户安全是Sophos的首要责任。因此，Sophos专家对所有漏洞报告进行了调查，并在第一时间采取了相关措施。

　　Sophos首席技术顾问Graham Cluley 11月6日表示，Sophos在几周内发布了补丁，并未影响到客户日常的操作。Sophos感谢Tavis Ormandy发现了漏洞，这有助于Sophos的产品变得更好。

　　然而，对于Sophos对关键漏洞打补丁所耗费的时间，Ormandy并不满意。他说，这事早在9月10日就已经报告给Sophos了。

　　Ormandy认为，正因如此，“复杂的由国家赞助的、目的明确的攻击者可能会轻易地瓦解整个Sophos用户根基。”

　　Ormandy表示，Sophos对攻击的回应不够快。如果攻击者通过Sophos反病毒软件作为进入用户网络的通道，Sophos在有些时候是不能防止他们的持续入侵的。如果你继续选择Sophos，就必须采取相应的意外事件处理计划来应对这一场景。