微软：IE高危漏洞为何会逃出我们的检测-控件新闻-慧都网

产品

产品
资讯
资源
视频
学院
示例

微软：IE高危漏洞为何会逃出我们的检测

原创|其它|编辑：郝浩|2008-12-24 15:57:31.000|阅读 793 次

概述： 在发布IE紧急安全补丁KB960714的当天，微软负责安全代码开发的主管Michael Howard在微软安全开发周期博客上撰文解释了为何公司漏掉了IE中存在0day高危漏洞，并且对该漏洞和微软的代码编写和检测程序进行了分析。

# 界面/图表报表/文档/IDE等千款热门软控件火热销售中 >>

在发布IE紧急安全补丁KB960714的当天，微软负责安全代码开发的主管Michael Howard在微软安全开发周期博客上撰文解释了为何公司漏掉了IE中存在0day高危漏洞，并且对该漏洞和微软的代码编写和检测程序进行了分析。

据悉，这个0day漏洞至少存在了9年之久，微软的开发人员之所以漏掉了这个高危漏洞是因为他们没有接受正确的培训，在测试中使用的测试工具也不是最有效的。作为《Writing Secure Code》（《编写安全的代码》）的作者，Howard表示，这个漏洞是存在于内存中的time-of-check-time-of-use（TOCTOU）漏洞，它很难通过代码检测或是静态代码分析发现。

Howard在文中指出，TOCTOU这种典型的错误归类为一般漏洞列表（CWE; Common Weakness Enumeration），也就是CWE-367。在对开发人员进行培训时，我们教过TOCTOU的问题，教过内存错误的问题，也教过闲置内存的问题，但却从未涉及到与内存相关的TOCTOU问题。

微软的检测工具包括fuzz也没能发现这个漏洞，“从理论上讲，fuzz可以发现这个Bug，但是现在没有fuzz测试的案例，检测该漏洞需要一个拥有相同标识符的多个数据绑定构造的数据流fuzzing工具，对这种数据类型的有效负载进行随机fuzzing是无法发现该漏洞的。

慧都点评：系统都是程序员用代码写出来的，既然是人做的事情就一定会有不足。不管你的检测手段多么高明，检测工具多么先进，检测流程多么严谨，漏洞都无法避免。人不是神，还是以宽容的心态来看待这一切吧。

标签：

本站文章除注明转载外，均为本站原创或翻译。欢迎任何形式的转载，但请务必注明出处、不得修改原文相关链接，如果存在内容上的异议请邮件反馈至chenjj@evget.com

文章转载自：慧都控件网

上一篇：SQL Server数据库安全下一篇：JAVA中访问权限的控制