您的位置: 首頁 >要聞 >

微軟70%的安全漏洞是內(nèi)存安全問題

2019-11-14 18:37:20 編輯: 來源:
導(dǎo)讀 微軟工程師上周在一次安全會議上透露,每年通過安全更新解決的微軟產(chǎn)品中大約70%的漏洞都是內(nèi)存安全問題。 內(nèi)存安全是軟件和安全工程師用來描述以不會導(dǎo)致錯誤的方式訪問操作系統(tǒng)內(nèi)存的應(yīng)用程序的術(shù)語。 當(dāng)軟件意外或有意地以超出其分配的大小和內(nèi)存地址的方式訪問系統(tǒng)內(nèi)存時,內(nèi)存安全漏洞就會發(fā)生。 經(jīng)常閱讀漏洞報告的用戶一遍又一遍地閱讀漏洞報告。緩沖區(qū)溢出、爭用條件、頁錯誤、空指針、堆棧耗盡、堆耗盡/損壞、

微軟工程師上周在一次安全會議上透露,每年通過安全更新解決的微軟產(chǎn)品中大約70%的漏洞都是內(nèi)存安全問題。

內(nèi)存安全是軟件和安全工程師用來描述以不會導(dǎo)致錯誤的方式訪問操作系統(tǒng)內(nèi)存的應(yīng)用程序的術(shù)語。

當(dāng)軟件意外或有意地以超出其分配的大小和內(nèi)存地址的方式訪問系統(tǒng)內(nèi)存時,內(nèi)存安全漏洞就會發(fā)生。

經(jīng)常閱讀漏洞報告的用戶一遍又一遍地閱讀漏洞報告。緩沖區(qū)溢出、爭用條件、頁錯誤、空指針、堆棧耗盡、堆耗盡/損壞、空閑后使用或雙空閑等術(shù)語都描述了內(nèi)存安全漏洞。

上周在以色列舉行的Bluehat安全會議上,微軟安全工程師MattMiller說,在過去的12年里,大約70%的微軟補丁都是針對內(nèi)存安全漏洞進行修復(fù)的。

之所以有這么高的百分比,是因為Windows主要是用C和C編寫的,這是兩種“內(nèi)存不安全”的編程語言,允許開發(fā)人員對可以執(zhí)行代碼的內(nèi)存地址進行細粒度控制。開發(fā)人員內(nèi)存管理代碼中的一個錯誤可能導(dǎo)致一系列內(nèi)存安全錯誤,攻擊者可以利用這些錯誤帶來危險和侵入性的后果--例如遠程代碼執(zhí)行或特權(quán)漏洞的提升。

內(nèi)存安全錯誤是當(dāng)今黑客最大的攻擊表面,攻擊者似乎正在利用它們的可用性。根據(jù)Miller的演示,在攻擊者開發(fā)漏洞時,使用After免費和堆損壞漏洞仍然是首選的漏洞。

此外,由于微軟已經(jīng)修補了大多數(shù)基本內(nèi)存安全漏洞,攻擊者和竊聽器獵人也加緊了他們的游戲,從向相鄰內(nèi)存中噴出代碼的基本內(nèi)存錯誤轉(zhuǎn)移到以所需內(nèi)存地址運行代碼的更復(fù)雜的漏洞,這是針對系統(tǒng)上運行的其他應(yīng)用程序和進程的理想選擇。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

最新文章

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。