微軟以“茅”攻“盾” 新技術(shù)助Office找bug

2010/4/5 9:52:29    編輯:Windows7之家 - Seth     字體:【

Win7之家afsion.com.cn):微軟以“茅”攻“盾” 新技術(shù)助Office找bug

軟媒編輯評論:

測試殺毒軟件好不好,用什么?廢話,當(dāng)然是用病毒和木馬咯。而微軟的工程師也很牛,用黑客攻擊軟件(類似僵尸網(wǎng)絡(luò))來測試Office 2010的BUG,居然能找出1800多處BUG,怪不得我們測試使用的Beta版本的Office 2010已經(jīng)很完善了,還是很欽佩微軟的哈,期待正式發(fā)行的Office 2010!

看新聞吧——

微軟公司的工程師們最近利用一種名為“Fuzzing”的測試技術(shù)發(fā)現(xiàn)了Office 2010軟件中的1800多處bug。Fuzzing測試技術(shù)是軟件開發(fā)者和安全專家們常用的一種新型軟件bug自動化測試技術(shù),其原理是自動用隨機(jī)的方式將軟件所需處理的數(shù)據(jù)進(jìn)行修改,使這些數(shù)據(jù)成為非法數(shù)據(jù),并測試軟 件對這些非法數(shù)據(jù)的響應(yīng)狀況。在某些情況下,向軟件傳輸非法數(shù)據(jù)會導(dǎo)致程序崩潰并產(chǎn)生黑客可利用的漏洞,黑客可利用這些漏洞來插入惡意代碼等。對Fuzzing測試技術(shù)的研究是目前黑白兩道的安全專家們的熱點所在。

“我們在Office 2010的代碼中發(fā)現(xiàn)了1800多處bug,”微軟可信賴計算部門(Trustworthy Computing group)的首腦Tom Gallagher表示,“盡管bug的數(shù)量較多,但需要說明的是這些bug并不等同于安全漏洞。我們也會積極地修補(bǔ)其中一些涉及系統(tǒng)安全的漏洞。”不過他拒絕透露這些bug中涉及系統(tǒng)安全漏洞的bug的具體數(shù)量,只稱微軟Office 2010開發(fā)組確實發(fā)現(xiàn)了一些安全漏洞。

Gallagher還表示,Office 2010先前版本的Office軟件中,一些與這次新發(fā)現(xiàn)的Office2010的非安全性性bug類似的漏洞則會在最新的SP升級版本中得到修復(fù)。

有趣的是,這次微軟用來進(jìn)行Office 2010 Fuzzing測試的工具不只是公司試驗室中的機(jī)器,他們還動用了公司閑置的員工用電腦進(jìn)行這項測試。這種測試方法與Prime95等協(xié)同計算程序的理念非常相似,就是利用互聯(lián)網(wǎng)上的許多機(jī)器來分別負(fù)責(zé)一部分計算,在客戶機(jī)處于閑置狀態(tài)時,安裝在客戶機(jī)上的這種軟件會自動開始Fuzzing計算,然后再將這些計算的結(jié)果通過網(wǎng)絡(luò)傳輸給服務(wù)器合并成最終的計算結(jié)果,從某種程度上看,這種技術(shù)與僵尸網(wǎng)絡(luò)的設(shè)計思想也非常相同。

“我們稱這種計算網(wǎng)絡(luò)為Fuzzing用僵尸網(wǎng)絡(luò),”Gallagher風(fēng)趣地將這種學(xué)名為分布式Fuzzing框架(DFF)的技術(shù)稱為僵尸網(wǎng)絡(luò)。據(jù)稱這種Fuzzing僵尸網(wǎng)絡(luò)測試技術(shù)是由Access團(tuán)隊的設(shè)計師David Conger所開發(fā)出來的。

過去,微軟公司做Fuzzing測試的方法則是在單臺機(jī)器上連續(xù)運行一周時間,而現(xiàn)在“我們不需要花太多的力氣就可以做1200萬次運算”Gallagher稱:“過去要花數(shù)天時間完成的計算現(xiàn)在只要一個小時就能完成了。”

盡管Office開發(fā)團(tuán)隊已經(jīng)在使用這種DFF測試技術(shù),但微軟公司內(nèi)部只有少數(shù)的幾個其它開發(fā)團(tuán)隊也在使用類似的技術(shù),目前只有SharePoint團(tuán)隊,MSN客戶端團(tuán)隊,F(xiàn)ast search團(tuán)隊在使用DFF測試技術(shù),而Windows開發(fā)團(tuán)隊則沒有使用這種技術(shù)。

不過微軟的這種做法則遭到了一些安全專家的嘲笑,指其做法相當(dāng)"愚笨",而且還嘲笑微軟,蘋果以及Adobe公司對其軟件所作的Fuzzing測試很不充分。三屆Pwn2Own黑客技能競賽的得主Charlie Miller上周在訪談節(jié)目的現(xiàn)場,使用了一種非常簡單的Fuzzing測試技術(shù),只使用了5臺電腦,便測試出了微軟Powerpoint,Mac OSX,蘋果Safari以及Adobe Reader軟件中存在的20處安全漏洞和數(shù)百了可引起程序崩潰的bug。

Miller拒絕透露這些軟件漏洞的細(xì)節(jié)信息,不過他提供了他所使用的測試方法的細(xì)節(jié)。他表示:“我只是想教教他們該如何正確地找出程序的這些bug,這樣他們以后做Fuzzing測試時就會更仔細(xì)小心。”

不過Gallagher則沒有就微軟是否會采納Miller的建議而發(fā)表肯定的評論,他說:“我們正在研究他的技術(shù),研究如何復(fù)制和應(yīng)用這種技術(shù),使其為我們所用。”