Windows Update需改進 30秒開發出攻擊程式碼
據最近發表的一篇論文稱,在對微軟的修補程式進行研究後,研究人員利用商業工具,在短短30秒時間內開發出了利用軟體缺陷的攻擊程式碼。
這一研究表明,從理論上來說,駭客在獲得修補程式後可以很快地開發出惡意程式碼,使更多的電腦面臨被感染惡意程式碼的可能性。
駭客的行動很快,微軟每個月的第二個星期二發佈修補程式,利用公開缺陷的惡意程式碼通常在第二天就會出現。駭客透過逆向工程技術尋找軟體中的漏洞。
更快地開發惡意程式碼使駭客有更多的時間發現攻擊目標,而此時微軟正在透過Windows Update發佈修補程式。論文指出,即使在修補程式發佈24小時後,也只有80%的Windows電腦存取了微軟的伺服器。微軟是故意這樣做的,其它軟體廠商也是「逐漸」發佈修補程式的,以減少伺服器的負荷。
研究人員稱,這種情況必須改變。他們在論文中寫道,我們認為,目前的修補程式發佈機制是不安全的。應該修正,以更好地防止以自動修補程式發佈的惡意程式碼。
研究人員使用了一款名為eEye Binary Diffing Suite的程式碼分析工具。
有數種方法可以防止駭客興風作浪。廠商在開發修補程式時可以有意隱藏要修正的缺陷,使駭客更難找到軟體中的缺陷。
在一次研究中,研究人員用不到二分鐘時間就找出了Windows 無法使用之字串中的缺陷,並迅速設計出了一種拒絕服務攻擊程式碼。
微軟可以首先發佈修補程式,當所有電腦接收到修補程式後,再發佈一個密碼。這一密碼可以解鎖修補程式,但能夠阻止駭客對修補程式進行逆向工程;另一種選擇是利用P2P網路,以更快地發佈修補程式。
來源 cnBeta
原文
http://news.yahoo.com/s/pcworld...cworld/145050 http://www.cnbeta.com/...54422.htm
