所謂 "安全更新" 都更新了什麼?

文章也發在知乎上

相信各位都曾注意到，有时系统更新会写一些类似 “更新谷歌安全修补程序”，或是除了所谓 “提升系统安全性” 的字样以外啥也没写的更新。
这些“安全更新”到底是干什么的？他们都更新了啥？为什么感觉啥也没变，升级包却这么大？我要在哪里才能找到具体更新的内容?

本文将告诉你如何查找更新所修补的具体漏洞。

果子家

我们先从苹果生态开始。理论上，所有安全更新的细节都可以在下面的网站找到。在页面上找到对应的更新就行了。
https://support.apple.com/zh-cn/HT201222

那我们随便点开一个最新的macOS安全更新来看看他都更新了些啥吧。

至于你应不应该更新，你自己去随便看几个更新内容吧。有看不懂的可以问问ai。

Windows

我其实不太确定windows 的安全更新是怎么推送的，所以就先空着吧… (反正你也阻止不了他更新)

安卓

就从上面那张小米的更新日志开始吧。

可以看到，更新日志中提到了 “谷歌安全修补程式”

一般来说，Google 作为上游，会一直做维护并提供安全更新，然后下游厂商再来做适配。Google 的安全补丁会在下面这个网站上公布。
https://source.android.com/docs/security/bulletin

我们可以看到，图中的是 2023#11，我们就可以在网站中找到对应的安全公告。

你可能会注意到，网站中会看到类似 CVE-年份-编号的东西。

CVE (Common Vulnerabilities and Exposures)，是一种用于标识和跟踪计算机系统中的安全漏洞的标准化命名体系，你可以用这个cve-xxxx-xxxxx的编号在网上找到关于这个漏洞的相关信息。

来一段GPT简介

CVE（Common Vulnerabilities and Exposures）是一种用于标识和跟踪计算机系统中的安全漏洞的标准化命名体系。每个CVE条目都包含一个唯一的标识符，格式为“CVE-年份-数字”，例如“CVE-2022-12345”。CVE的目的是提供一个公共的、可检索的标准，以便安全专业人员、研究人员和厂商可以共享有关已知漏洞的信息。该体系还促使更好的合作，以加强网络安全。CVE条目通常包括漏洞的描述、危害级别和可能的解决方案。