我们这边从2007年底开始就没怎么报漏洞。结果有竞争对手拿几个旮旯漏洞出来，跟客户说要PK“近两年”发现的漏洞数量，于是我们也只好被迫开始报了。

其中给微软报了三个：一个出在Office核心库，这个实际上只具有理论意义，想利用得讲时运；另一个出在Windows系统库，影响所有版本Windows，完全可利用；还有一个不是我发现的，就不说了。

结果两个几乎不可能利用的漏洞都被确认了，而完全可利用的系统库那个微软则认为并不是漏洞。

打算找个时间，把微软已经权威认定不是漏洞的小玩意放出来，也算为建国60周年献礼。


以我恶毒的心灵揣测，可能因为这个漏洞属于设计上的问题，有点类似MS06-001。导致MS06-001的那个功能现实中几乎没有应用，可以简单地去掉。而这个功能则还有应用，而且涉及的代码较多，涉及的功能比较核心，补起来要复杂一些。另外，这个问题不像 MS06-001那样能通过常用软件触发，不能用来挂马，受影响的人群小，可能被影响到的也就是程序员和我们这些人，所以那边觉得补起来不合算，能混就混过去算了。