Thinkpad 国行笔记本 配置报价表

各品牌 高性能 游戏本 设计本 报价

组装台式机 兼容机 配置价格表

国行Apple笔记本/iMac/Macmini报价

iphone手机/ipad平板/苹果手表 报价

ThinkBook笔记本报价(Think子品牌)

LENOVO 联想 商用笔记本报价

塔式.机架式工作站/服务器配置价格表

华为笔记本|荣耀笔记本 |配置价格

华为手机/荣耀手机/华为平板/系列报价

Thinkpad 港行笔记本 配置行情表

LENOVO联想 家用笔记本报价

戴尔 (Dell)笔记本报价

微软 Surface 全系列电脑报价

合肥本本之星 地址 电话

返回列表 发帖

微软解释为何没能发现IE高危漏洞

 


       在发布IE紧急安全补丁KB960714的当天,微软负责安全代码开发的主管Michael Howard在微软安全开发周期博客上撰文解释了为何公司漏掉了IE中存在0day高危漏洞,并且对该漏洞和微软的代码编写和检测程序进行了分析。
据悉,这个0day漏洞至少存在了9年之久,微软的开发人员之所以漏掉了这个高危漏洞是因为他们没有接受正确的培训,在测试中使用的测试工具也不是最有效的。作为《Writing Secure Code》(《编写安全的代码》)的作者,Howard表示,这个漏洞是存在于内存中的time-of-check-time-of-use(TOCTOU)漏洞,它很难通过代码检测或是静态代码分析发现。


       Howard在文中指出,TOCTOU这种典型的错误归类为一般漏洞列表(CWE; Common Weakness Enumeration),也就是CWE-367。在对开发人员进行培训时,我们教过TOCTOU的问题,教过内存错误的问题,也教过闲置内存的问题,但却从未涉及到与内存相关的TOCTOU问题。


       微软的检测工具包括fuzz也没能发现这个漏洞,“从理论上讲,fuzz可以发现这个Bug,但是现在没有fuzz测试的案例,检测该漏洞需要一个拥有相同标识符的多个数据绑定构造的数据流fuzzing工具,对这种数据类型的有效负载进行随机fuzzing是无法发现该漏洞的。”

返回列表