最近Secunia的一项研究结果显示,许多流行的第三方应用都没有利用微软Windows系统里内置的两个安全功能提供防护,如Sun Java JRE, Apple QuickTime和Google Picasa。
丹麦安全公司Secunia7月1日揭露,许多流行的第三方Windows应用都没有利用Windows内置的两个安全功能,这些功能可以帮助他们防御代码执行攻击。
据该公司表示,Sun Java JRE, Apple QuickTime和RealPlayer等应用没有使用微软的DEP(数据执行防护)和ASLR(随机排序地址空间)技术。名为“流行第三方Windows应用中的DEP/ASLR实施情况”的报告对16个流行应用使用或不使用的方式进行了分析(也就是DEP或ASLR),此外还研究了他们是否会随着时间的推移进行调整。
2004年在Windows XP服务包2中DEP被加入了Windows系统,可以防御应用免受来自非执行记忆区域的代码执行。2007年微软加入了ASLR到Windows Vista系统。ASLR随机地记忆功能空间可以降低攻击者成功执行代码的机会。
Secunia首席安全官Thomas Kristensen表示:“DEP和ASLR让攻击者在某种情况下很难利用特定的漏洞。”
尽管一些开发者让他们的应用能够与DEP进行兼容,但是整体的应用会变慢,而且也会导致操作系统版本间的不平衡。另外,几乎所有的厂商执行ASLR都是不当的行为,研究人员表示,这使得return-into-libc技术可以在应用或浏览器中以其他方式兼容ASLR。
Kristensen表示,他不清楚为何这些技术的采用会导致系统变慢。
“到目前为止没有明确的答案;这些技术都是有案可稽的,XP SP2中的DEP和Vista中的ASLR都已经解决了这些问题。”他说:“这很可能应该归咎于那些公司的开发者和管理者对认识和了解的普遍缺乏。”
他补充说:“作者原因可能导致他们不理解DEP和ASLR在所有代码使用中的目的,就像一个图书馆,如果不使用DEP/ASLR的话很多努力都是无效的。”
Kristensen表示,他希望这些技术的应用在未来会有所增加。
“然而这不能作为不编写适当的安全代码的借口,DEP/ASLR在许多情况下可以挽救他们。”他说。