据悉,这个0day漏洞至少存在了9年之久,微软的开发人员之所以漏掉了这个高危漏洞是因为他们没有接受正确的培训,在测试中使用的测试工具也不是最有效的。 作为《Writing Secure Code》(《编写安全的代码》)的作者,Howard表示,这个漏洞是存在于内存中的time-of-check-time-of-use(TOCTOU)漏洞,它很难通过代码检测或是静态代码分析发现。 Howard在文中指出,TOCTOU这种典型的错误归类为一般漏洞列表(CWE; Common Weakness Enumeration),也就是CWE-367。在对开发人员进行培训时,我们教过TOCTOU的问题,教过内存错误的问题,也教过闲置内存的问题,但却从未涉及到与内存相关的TOCTOU问题。 微软的检测工具包括fuzz也没能发现这个漏洞,“从理论上讲,fuzz可以发现这个Bug,但是现在没有fuzz测试的案例,检测该漏洞需要一个拥有相同标识符的多个数据绑定构造的数据流fuzzing工具,对这种数据类型的有效负载进行随机fuzzing是无法发现该漏洞的。”
[快知道]:什么是系统漏洞? |
正在阅读:微软解释为何没能发现IE高危漏洞微软解释为何没能发现IE高危漏洞
2008-12-25 10:51
出处:
责任编辑:caijunjun

相关文章
光环无限登陆微软账号关联方法 详解
microsoft kernel wave audio mixer出现错误方法【详解】
微软surface键盘没反应怎么回事
微软surface突然开不了机怎么回事
Microsoft Edge浏览器怎么重置Microsoft Edge浏览器重置教程
Microsoft Edge浏览器怎么设置主题Microsoft Edge浏览器设置主题方法
Microsoft edge浏览器怎么关闭后台应用Microsoft edge浏览器关闭后台应用方法
Microsoft Edge浏览器怎么设置睡眠时间Microsoft Edge浏览器设置睡眠时间方法
Microsoft Edge浏览器怎么查看历史记录Microsoft Edge浏览器查看历史记录方法
microsoft store下载路径怎么更改 microsoft store修改储存位置技巧分享