由於微軟對於修補檔的發佈政策，是每個月的第二個周二(台灣時間的周三)，雖然會有因為事情緊急而破例提早更新的情況，但大多數的情況微軟並不會破例，也因為造成了風險的提高。像先前提到的例子，到了9月22日時，就已經出現另外一個團體(ZERT ,Zeroday Emergency Response Team)，推出非官方版本的修補檔。

由於微軟的修補檔發佈政策，到目前仍是一個月一次，少數遇到緊急情況時，才會特別提早發佈修補檔。而未來相關形態的攻擊，將是越來越多，尤其這幾年測試尋找軟體安全弱點的技術日益進步，再加上微軟在套裝軟體的成功，目前許多企業集中在使用微軟的產品，對攻擊者而言，成功找到微軟產品的安全弱點，所潛藏的利益是巨大的。

當出現零時差攻擊，而官方又未發佈修補檔時，要如何因應呢？雖然有時會有非官方的修補檔出現在網路上，但是要小心評估，套用這些非官方的修補檔，是否有必要？第一是發佈修補檔的團體的信譽。第二是修補檔是否有經過內部仔細的測試，以免因為套用這些修補檔，導致企業公司內的資訊系統出現問題，那麼損失很可能是非常巨大的。第三是整體考量，因為即使軟體有弱點，但仍要攻擊程式去觸發。有時在企業內，因為安全佈署與網路規劃，或是業務性質的關係，安全弱點被觸發的機會很小，或是雖然會觸發，但是因為防護嚴密，並不會造成危害。因此，修補系統重要，其他網路安全相關的佈署，仍是不可或缺的，要有縱深防禦以及整體防禦概念。

9月12日，Redhat發佈一個在firefox上的Adobe flash playerplug-in的安全性更新，重要性等級是嚴重影響安全性，從這一份資料，我們了解到幾件事：第一，這是一個針對redhat平台的安全通報，由redhat所發佈，也就是說，他是有平台限定的，其他的平台，不管是linux或是windows平台，是否會有相同的安全性題問題，必需查閱相關廠商的安全通報才能知道，有時安全性問題，會是跨平台的，但有時卻不是，這需要詳閱安全通報才能知道。

以這篇通報為例，flash player其實是一個跨平台的軟體，而我們從redhat的安全通報只能知道這個安全弱點在redhat平台上的影響，如果我們換個方式，從flash player的公司，也就是adobe的網站來查，那麼就會知道一個更廣泛的影響說明。所以，有時看到一個安全通報並不夠，可能要再看另外一篇安全通報，才可以看到更全面的說明，在跨平台軟體日益增多的今日，要有這種概念，才能了解安全通報，而不是被安全通報誤導，導致不良的後果。


下面是相關的安全通報網址，提供參考
TW-CA-2006-098-[RHSA-2006:0674-01:Critical: flash-plugin security update]
https://www.cert.org.tw/document/advisory/show.php?twcert_sn=TW-CA-2006-098
更新過的Adobe Flash Player套件已經發行了。本版修正一些安全漏洞。RedHat 安全反應小組將本篇公告列為安全嚴重影響。


Multiple Vulnerabilities in Adobe Flash Player 8.0.24.0 and Earlier Versions
http://www.adobe.com/support/security/bulletins/apsb06-11.html


新聞參考連結：
http://www.securityfocus.com/brief/307 Researchers warn of Internet Explorer 0-day
http://www.securityfocus.com/brief/312 Unofficial IE 0-day patch appears