微软计划为其软件“体检” 查找WMF的类似缺陷
来源:岁月联盟
时间:2010-02-13
在接受CNET News.com 采访时,微软安全响应中心的主管威尔逊和凯文表示,WMF 图像文件处理方式中存在的这一危急缺陷与微软过去遇到的安全缺陷有所不同。
普通的缺陷是软件中“不可预料的一道沟”,安全可以利用它们达到自己的目的,与此相反的是,WMF 缺陷存在于一个被以无意识的方式使用的软件功能中。
作为对这一新缺陷的反应,微软表示将对其新、旧软件产品进行检查,避免类似的缺陷。威尔逊表示,既然我们知道这一安全是可能的,我们将查找软件中其它类似的缺陷。
自在2002年年初推出可信赖计算计划后,数年来,微软一直在努力改进其安全状态。分析人士表示,由于这一遗留的问题没有被发现,WMF 缺陷对于微软而言不是一个“好广告”。
Gartner 的分析师麦克唐纳表示,这一缺陷在数年前就应当被发现和解决,微软忽略了图像格式文件,而WMF 缺陷正是出在了这里。专家们表示,微软一直在与电脑犯罪分子赛跑。
芬兰安全软件厂商F-Secure的首席研究人员米科表示,在WMF 图像格式在1980年代末出现时,其中包含有一项功能,使图像文件能够包含在PC上执行的软件代码。
他说,这不是一个缺陷,当时需要这种功能。这不是一个好设计,是来自另一个时代的设计。WMF 图像格式是在1990年代初随Windows 3.0 问世的。
专家表示,在图像文件中嵌入可执行代码有助于在较慢的系统上中止对较大图像文件的处理。开发了非官方WMF 补丁软件的Ilfak Guilfanov 也持相同的看法。WMF 是很久以前设计的,当时信息安全还不是软件设计中的一个关键部分。
在利用WMF 发动的安全中,现身的有特洛伊安全、即时通讯蠕虫、数千个网站被发现。只要用户简单地访问一个包含有恶意WMF 图像文件的网站、在电子邮件或Office中打开这样的文件,有缺陷的Windows 计算机就会受到安全。
许多安全都会在被感染的计算机上安装间谍件或其它流氓软件。据德国马格德堡大学的反病毒软件专家安德里亚斯称,至少有100 万台计算机受到了感染。专家们曾表示,WMF 还将成为未来许多安全的通道。
威尔逊表示,微软在该缺陷公开10天后就发布了补丁软件,这在公司历史上是最快的。尽管能够以创记录的速度修正这一缺陷,微软仍然被该缺陷的类型震惊了。
凯文说,这不是常见的缓冲区溢出缺陷。该软件有一种可供安全利用的行为,显然这是出乎我们预料之外的。
威尔逊表示,微软已经吸取了WMF 缺陷的教训。微软将更新其“安全开发生命周期”。他说,这种威胁是我们以前所没有预想到的。我们将修改“安全开发生命周期”中的信息,并修改威胁模拟系统,查找所有产品中类似的缺陷。
麦克唐纳表示,微软应当已经发现了这样的设计问题。他说,“安全开发生命周期”中已经包括数据文件格式,这应当是任何安全生命周期中的基本部分。
一些安全表示,对代码进行“体检”,并修改其开发行为是微软采取的正确措施。美国系统网络安全协会的首席研究人员约翰尼斯说,在发现和修正这些缺陷方面,微软应当更具有前瞻性。
nCircle 负责缺陷管理的主管默里也同意这种看法,他说,这是微软能够采取的唯一措施。因为这是一种新的缺陷,会有许多“捕虫者”━━好的、坏的,查找类似的缺陷。
凯文表示,微软预计不会发现许多与WMF 缺陷类似的缺陷。他说,我预计这不会是一种普遍性的问题,但我们将查找类似的缺陷。
Guilfanov 不认为WMF 缺陷是一个全新的问题,但认为这一缺陷是独立的。他说,没有什么是全新的。这是一种设计缺陷。WMF 缺陷与过去的Office文件缺陷类似。
数据中嵌入代码的功能非常强大,但如果不小心,就会反而被它所伤。应当有一种能够禁止嵌入代码执行的控制机制。一种类似的控制机制在遏止Word宏病毒方面扮演了重要的角色。
文件格式处理方式中的缺陷被发现得越来越多了。这是因为图像格式非常复杂,应用软件必须支持多种图像文件类型,这就为安全安全目标提供了新的途径。
