来自专栏 火绒安全实验室

不少安全厂商都会在产品中加入修复漏洞的功能，火绒安全软件也具备【漏洞修复】功能。不过有细心的用户发现，火绒【漏洞修复】扫描出的“漏洞数”和其他厂商不太一样，火绒扫出来的“漏洞数”较少。那么究竟是为什么呢？是不是漏洞扫出来越多越好呢？

其实，当前系统有多少可以被利用的漏洞，和安全厂商检测出来的“漏洞数”没有直接关系。部分安全厂商的“漏洞数”实际上是可以安装更新的“补丁数”。那么让我们来换个问法：“补丁数”越多越好吗？

这个问题，微软自己已经给出了答案：此前一直采用的，发布单独补丁的形式，随着漏洞数和补丁数逐渐增多，出现了多种问题，如扫描速度慢、测试复杂程度增加等（具体如下图）。并且用户是否打补丁，打哪个补丁也都不受控制，有些补丁之间存在依赖关系，缺少其一就会产生错误，由此用户体验也会下降。

（图为谷歌翻译后内容）

所以微软在2016年宣布，要将此前发布单独补丁的形式调整为发布汇总的补丁。主要分为：“仅安全更新”和“月度汇总”两类。

仅安全更新”包含本月所有漏洞的单独补丁，“月度汇总”包含当月的“仅安全更新”+ 非安全类更新，以及上月的“月度汇总”。这样一来，用户始终只需一个最新的“月度汇总”补丁，就可以将系统以往的漏洞（调整更新方式后）都修复。

做了这个调整之后，微软17年产生的补丁数大大下降，如此，即可避免上述所说的诸多问题。

再说回安全厂商。下面先请大家思考一个问题：

于老师第一个星期感冒了，医生为他开了一盒感冒药A，但于老师没有吃。第二个星期，于老师不但感冒没好，还发烧了。此时医院里有三种药：1、感冒药A；2、退烧药B；3、可同时治疗感冒+发烧的药C。

请问如果你是医生，会开哪个药呢？

请问如果你是于老师，会买哪个药呢？

如果从“越多越好”的角度出发，医生可以开A+B，甚至开A+B+C。

但是从于老师的角度来说，只需要C就可以了。

没错，上面的“感冒”、“发烧”类比的就是漏洞，而“药”指的就是补丁。微软对每月的"仅安全更新"和”月度汇总“的处理结果是替换，用户每个月收到的安全更新补丁，只有当月的“仅安全更新”和“月度汇总”。但如果安全厂商在获取微软补丁后，没有在产品功能里做替换，而是直接将新补丁包添加入库，那么就会出现“一个漏洞被多次修复”的情况。这样做虽然没有问题，但是却会造成资源浪费。毕竟只修复当月最新的月度汇总补丁就能解决问题。

火绒希望给用户提供尽可能一步到位的服务，所以【漏洞修复】更新策略是使用“月度汇总”补丁。一直保持给用户“药C”的方式，漏洞扫描结果（补丁数）也就自然会少的多了。

同时，在用户扫描漏洞时，火绒还会结合当前系统的更新情况，配合其他安全服务，为用户提供“定制”的更新服务。减少修复漏洞时补丁占用的空间、安装时间、重启次数，并且降低安装补丁带来的风险。

怎么样，知道真相后是不是觉得恍然大悟呢~接下来就请放心的使用火绒【漏洞修复】吧。

最后，不少使用GHOST系统、精简版系统的用户会经常遇到补丁修复失败的情况，可以尝试使用火绒提供的相关小工具解决。

下载地址：https://down5.huorong.cn/tools/hr_patch_install_tool.exe

本程序适用于Windows 7 x86、Windows 7 x64和Windows Server 2008 R2 x64系统的组件缺失进行修复。如果遇到补丁安装失败时，可以尝试使用本工具进行修复。注意：根据系统环境不同，修复时间可能会运行较长时间。安装过程中请耐心等待，不要关闭计算机或者结束更新程序。