[[9843]]

據(jù)資訊網(wǎng)站Computerworld報(bào)道，本周，微軟進(jìn)行的一項(xiàng)測(cè)試顯示Office 2010中有1800處需要重新編寫代碼。

據(jù)公司安全測(cè)試部門主管湯姆•加拉格爾透露，微軟此次采用的測(cè)試方式是建立一個(gè)類似于僵尸網(wǎng)絡(luò)的龐大測(cè)試體系，大約有1200萬(wàn)臺(tái)測(cè)試主機(jī)。研究人員只需將測(cè)試代碼輸入其中的一部電腦后，無(wú)需太多操作，即可搜集到海量反饋信息。由于可以節(jié)省大量人力，所以被用作分析軟件安全性的重要測(cè)試手段。

該方法需要軟件開發(fā)人員和安全研究人員共同配合，在軟件的被測(cè)部分植入格式分析器查看程序的運(yùn)行情況。

值得注意的是，加拉格爾強(qiáng)調(diào)，雖然在測(cè)試中發(fā)現(xiàn)并修補(bǔ)了1800個(gè)Bugs，但這并不能代表Office 2010存在相同的安全問(wèn)題。他堅(jiān)持不應(yīng)該使用“vulnerabilities”來(lái)形容上述缺陷，因?yàn)锽ugs中很大一部分與安全問(wèn)題無(wú)關(guān)且危害性很小，微軟將通過(guò)服務(wù)包Server Package或升級(jí)補(bǔ)丁完成修復(fù)工作。

在上周進(jìn)行的Pwn2Own黑客大賽中，三屆MacOS終結(jié)者查理·米勒正是通過(guò)五部電腦和一些常見的Fuzzer發(fā)現(xiàn)了Safari瀏覽器中的數(shù)十個(gè)安全漏洞。

新版Office 2010中添加的安全功能包括更加靈活的文件攔截機(jī)制（曾在Office 2007中出現(xiàn)）、獨(dú)立沙盒系統(tǒng)用于測(cè)試可疑文檔等，目前Office 2010已經(jīng)開放給公眾下載使用。

fuzzing是一種高度自動(dòng)化軟件檢測(cè)技術(shù)。提供受測(cè)試軟件隨機(jī)產(chǎn)生的資料，借此觀察軟件是否因此發(fā)生故障（如當(dāng)機(jī)），可以提供全面性的檢測(cè)；缺點(diǎn)是智能化程度不夠，效率偏低。

【編輯推薦】

1. 微軟以矛攻盾新技術(shù)助Office2010找bug
2. Office 2010帶給我們的五個(gè)安全教訓(xùn)