一年前,微軟推出三項(xiàng)安全計(jì)劃,力圖改善整個(gè)軟件業(yè)的安全性。如今,微軟發(fā)現(xiàn),更多的安全更新?lián)敉肆撕诳凸舫绦?exploits)。
同時(shí),微軟安全應(yīng)急中心(Msrc)表示,2008年10月至2009年6月間,該中心一共發(fā)布了50次安全公告,總計(jì)針對(duì)138種安全弱點(diǎn)發(fā)布了安全更新,其中67種弱點(diǎn)可能已有人寫出對(duì)應(yīng)的黑客攻擊程序。
去年8月,微軟安全應(yīng)急中心宣布三項(xiàng)安全計(jì)劃,意在協(xié)助顧客、商業(yè)伙伴等人加強(qiáng)安全性。微軟特別選在拉斯維加斯黑帽(Black Hat)會(huì)議登場(chǎng)的前一天,回顧這三項(xiàng)安全計(jì)劃的實(shí)施成果。
通過(guò)微軟主動(dòng)防護(hù)計(jì)劃(Microsoft Active Protections Program,MAPP),微軟對(duì)45個(gè)合作伙伴提供安全弱點(diǎn)資訊,讓他們?cè)诿吭吕械腜atch Tuesday安全更新日之前先一步接獲資訊。MAPP伙伴與網(wǎng)絡(luò)安全廠商Sourcefire會(huì)根據(jù)這些資訊提供防護(hù)。
在推出MAPP之前,逆向工程師需要大約八小時(shí)的時(shí)間制作驗(yàn)證概念的程序代碼,然后打造偵測(cè)安全弱點(diǎn)的攻擊程序。而高明的黑客在安全弱點(diǎn)信息公布后,也大概只要八小時(shí),就能寫出利用安全漏洞的攻擊程序代碼。
現(xiàn)在,Sourcefire說(shuō),大約只需要兩小時(shí)就夠了。Sourcefire開(kāi)發(fā)者只需要寫偵碼,因?yàn)槠溆嗟奈④洉?huì)提供,這意味補(bǔ)丁程序通常會(huì)比攻擊程序領(lǐng)先數(shù)小時(shí)發(fā)布。
為了估計(jì)安全弱點(diǎn)遭到利用的情形,微軟去年建立一個(gè)指數(shù),稱為Microsoft Exploitability Index。微軟表示,根據(jù)這個(gè)指數(shù),微軟的可靠度達(dá)到99%。在140次評(píng)比中,只發(fā)生一次修正的情形,那次是調(diào)降安全弱點(diǎn)的嚴(yán)重性。
第三項(xiàng)計(jì)劃是微軟安全弱點(diǎn)研究(Microsoft Vulnerability Research,MSVR),由微軟研究員設(shè)法找出第三方軟件內(nèi)含的安全漏洞。
從2008年6月至2009年6月間,MSVR小組找出影響32家軟件廠商的安全漏洞,其中86%是重大或重要的安全漏洞,有13%已被修補(bǔ),5%正在解決中。例如,最近蘋果Safari瀏覽器修補(bǔ)的安全漏洞,就是MSVR小組與微軟安全研究員Billy Rios發(fā)現(xiàn)的。
微軟安全應(yīng)急中心負(fù)責(zé)人Mike Reavey說(shuō):我們?cè)庥龅墓粲鷣?lái)愈復(fù)雜,攻擊者與防御者一直在賽跑,業(yè)界必須通力合作。 (編輯:王小凡)
進(jìn)入論壇>>聲明:IT商業(yè)新聞網(wǎng)登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點(diǎn)或證實(shí)其描述。文章內(nèi)容僅供參考。新聞咨詢:(010)68023640.推薦閱讀
DaiZovi在黑帽安全大會(huì)上公布了一處軟件缺陷。迄今為止,針對(duì)Mac計(jì)算機(jī)的安全攻擊還比較少,但安全專家指出,隨著Mac計(jì)算機(jī)市場(chǎng)份額的提高,這種情況將發(fā)生變化。 7月31日消息,Mac安全專家Dino Dai Zovi發(fā)現(xiàn)一種黑客>>>詳細(xì)閱讀
本文標(biāo)題:微軟回顧3項(xiàng)安全計(jì)劃成果 有效降低黑客攻擊
地址:http://www.oumuer.cn/a/xie/20111230/201669.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示