Win7之家( afsion.com.cn):Windows下僅有15%的公開DLL劫持漏洞被修復(fù)
據(jù)國外媒體報道,斯洛文尼亞安全公司ACROS Security公布的數(shù)據(jù)顯示,僅有15%的公開DLL劫持漏洞被修復(fù)。
大約100天前,DLL漏洞和與EXE相關(guān)的加載漏洞被首度公布。此類漏洞源于微軟Windows平臺執(zhí)行文件搜索時的不當(dāng)操作,攻擊者可利用漏洞執(zhí)行任意代碼。
據(jù)安全信息服務(wù)商Secunia稱,到目前為止,僅有23個(共151個)DLL植入漏洞被修復(fù)。相反,7/8的已知EXE加載漏洞已經(jīng)被修復(fù)。
ACROS 公司總裁Mitja Kolsek在其博客中寫道:“有趣的是,在一些瀏覽器開發(fā)商首度曝光漏洞后,小型開發(fā)公司修復(fù)了多數(shù)的漏洞,或許主要是一些開源軟件公司。”
那么,究竟是什么原因使得大型開發(fā)公司修復(fù)軟件漏洞比較滯后呢?“一般而言,大型開發(fā)公司的補丁測試費用較高,而且他們的商業(yè)模式無法為安全補丁提供豐厚的獎金,”Kolsek認(rèn)為。
2008年12月至2010年7月間,ACROS共統(tǒng)計到至少66個DLL植入漏洞,其中只有6%的漏洞被修復(fù),另外的28個EXE植入漏洞都未被修復(fù)。
Kolsek表示:“不清楚受影響程序開發(fā)商是否知道存在的漏洞。”
評論列表
查看所有 條評論