在QuickTime中兩個零日漏洞被披露、且蘋果公司突然停止支持該軟件后，美國國土安全部和趨勢科技公司發(fā)布安全公告建議用戶卸載Windows版QuickTime。蘋果公司隨后宣布Windows版QuickTime壽終正寢。為什么蘋果不修復(fù)這些漏洞，或者至少提前告知用戶其結(jié)束QuickTime支持的計劃?這樣的做法常見嗎?

Michael Cobb：蘋果公司宣布Windows版QuickTime壽命結(jié)束并沒有讓人感到太驚訝，但他們其實可以更好地處理這一事件，讓用戶有更多時間來應(yīng)對。QuickTime是主要用來播放視頻和音頻的多媒體解決方案，它最早于1991年在Mac OS中發(fā)布，隨后推出Windows版。微軟在2009年向Windows增加對主要媒體格式(H.264和AAC)的支持后，用戶不再使用QuickTime來播放現(xiàn)代媒體格式。隨著Web瀏覽器開始支持視頻而不需要瀏覽器插件和網(wǎng)站轉(zhuǎn)移到HTML 5web標(biāo)準(zhǔn)來播放視頻，QuickTime的使用率持續(xù)減少。

QuickTime的消亡跡象出現(xiàn)在2011年，當(dāng)時OS X Lion轉(zhuǎn)移到AV Foundation圖形框架，而在2013年，蘋果公司棄用了Windows中QuickTime的所有開發(fā)者API。

然而，這個消息還是有些讓人措手不及。在2016年4月，TippingPoint公司威脅防御部門發(fā)布兩個零日公告(ZDI-16-241和ZDI-16-242)，這兩個漏洞可用于遠(yuǎn)程攻擊Windows計算機(jī)，隨后趨勢科技宣布蘋果已經(jīng)停止對Windows版QuickTime的所有安全修復(fù)。TippingPoint安全公告符合零日舉措的披露政策。在同一天，US-CERT發(fā)布警告TA16-105A，建議用戶卸載Windows版QuickTime作為抵御該產(chǎn)品中當(dāng)前和未來的漏洞的唯一方法。一周后，蘋果宣布不再繼續(xù)支持Windows版QuickTime 7。

盡管蘋果對支持Windows版QuickTime的熱情一直在消退，但他們還是應(yīng)該提前通知用戶這一重要的決定。在供應(yīng)商對產(chǎn)品的支持停止時，謹(jǐn)慎的做法是停止使用它，卸載它并找到替代的方法。對于很多企業(yè)來說，只能卸載，別無其他選擇，因為運行不受支持的軟件將帶來不必要的風(fēng)險，這些軟件容易被利用，而且往往被合規(guī)標(biāo)準(zhǔn)禁止使用。

蘋果沒有發(fā)布政策，也沒有發(fā)布退役產(chǎn)品的官方日期。根據(jù)以往經(jīng)驗，他們會為當(dāng)前版本的OS X和前兩個版本發(fā)布更新，從第一個版本到最后結(jié)束會提供三年支持——每年會發(fā)布新版本的OS X。而單個產(chǎn)品的支持狀態(tài)不太明顯，正如Windows版QuickTime突然壽終正寢，而Mac版的QuickTime將繼續(xù)得到更新。

企業(yè)需要合理時間才能夠計劃從一個主要軟件版本遷移到另一個版本;例如，微軟估計從Windows 2003到Windows Server 2012 R2的完整服務(wù)器遷移需要長達(dá)200天。為了給管理員時間來準(zhǔn)備升級，軟件供應(yīng)商應(yīng)該提供事先通知、路線圖或產(chǎn)品壽命結(jié)束時間表，有些供應(yīng)商確實會這樣做。微軟有生命周期支持政策，在每個產(chǎn)品的使用壽命中為支持可用性提供詳細(xì)準(zhǔn)則，Adobe公司也是如此。Oracle公司為其主要產(chǎn)品提供路線圖，例如Java SE支持路線圖。

這種類型的信息使升級和產(chǎn)品遷移規(guī)劃不太會受到突然沖擊。然而，業(yè)界需要做很多工作來警告用戶運行不受支持軟件的危險，并鼓勵人們從舊軟件升級。盡管業(yè)界對即將結(jié)束壽命的Windows XP多次警告，很多用戶和企業(yè)仍然在運行它。

蘋果對卸載QuickTime的指示可以在這里找到，卸載QuickTime還可刪除舊的QuickTime插件--用戶應(yīng)該不再需要。