据资讯网站Computerworld报道,本周,微软进行的一项测试显示Office 2010中有1800处需要重新编写代码。
据公司安全测试部门主管汤姆·加拉格尔透露,微软此次采用的测试方式是建立一个类似于僵尸网络的庞大测试体系,大约有1200万台测试主机。研究人员只需将测试代码输入其中的一部电脑后,无需太多操作,即可搜集到海量反馈信息。由于可以节省大量人力,所以被用作分析软件安全性的重要测试手段。
该方法需要软件开发人员和安全研究人员共同配合,在软件的被测部分植入格式分析器查看程序的运行情况。
值得注意的是,加拉格尔强调,虽然在测试中发现并修补了1800个Bugs,但这并不能代表Office 2010存在相同的安全问题。他坚持不应该使用“vulnerabilities”来形容上述缺陷,因为Bugs中很大一部分与安全问题无关且危害性很小,微软将通过服务包Server Package或升级补丁完成修复工作。
在上周进行的Pwn2Own黑客大赛中,三届MacOS终结者查理·米勒正是通过五部电脑和一些常见的Fuzzer发现了Safari浏览器中的数十个安全漏洞。
新版Office 2010中添加的安全功能包括更加灵活的文件拦截机制(曾在Office 2007中出现)、独立沙盒系统用于测试可疑文档等,目前Office 2010已经开放给公众下载使用。
fuzzing是一种高度自动化软件检测技术。提供受测试软件随机产生的资料,借此观察软件是否因此发生故障(如当机),可以提供全面性的检测;缺点是智能化程度不够,效率偏低。