首页 > 信息安全 > 正文

微软系统内置安全功能不能赢取第三方应用的青睐

2010-07-08 17:48:24  来源:比特网

摘要:最近Secunia的一项研究结果显示,许多流行的第三方应用都没有利用微软Windows系统里内置的两个安全功能提供防护,如Sun Java JRE, Apple QuickTime和Google Picasa。
关键词: ASLR DEP W

   最近Secunia的一项研究结果显示,许多流行的第三方应用都没有利用微软Windows系统里内置的两个安全功能提供防护,如Sun Java JRE, Apple QuickTime和Google Picasa。

  丹麦安全公司Secunia7月1日揭露,许多流行的第三方Windows应用都没有利用Windows内置的两个安全功能,这些功能可以帮助他们防御代码执行攻击。

  据该公司表示,Sun Java JRE, Apple QuickTime和RealPlayer等应用没有使用微软的DEP(数据执行防护)和ASLR(随机排序地址空间)技术。名为“流行第三方Windows应用中的DEP/ASLR实施情况”的报告对16个流行应用使用或不使用的方式进行了分析(也就是DEP或ASLR),此外还研究了他们是否会随着时间的推移进行调整。

  2004年在Windows XP服务包2中DEP被加入了Windows系统,可以防御应用免受来自非执行记忆区域的代码执行。2007年微软加入了ASLR到Windows Vista系统。ASLR随机地记忆功能空间可以降低攻击者成功执行代码的机会。

  Secunia首席安全官Thomas Kristensen表示:“DEP和ASLR让攻击者在某种情况下很难利用特定的漏洞。”

  尽管一些开发者让他们的应用能够与DEP进行兼容,但是整体的应用会变慢,而且也会导致操作系统版本间的不平衡。另外,几乎所有的厂商执行ASLR都是不当的行为,研究人员表示,这使得return-into-libc技术可以在应用或浏览器中以其他方式兼容ASLR。

  Kristensen表示,他不清楚为何这些技术的采用会导致系统变慢。

  “到目前为止没有明确的答案;这些技术都是有案可稽的,XP SP2中的DEP和Vista中的ASLR都已经解决了这些问题。”他说:“这很可能应该归咎于那些公司的开发者和管理者对认识和了解的普遍缺乏。”

  他补充说:“作者原因可能导致他们不理解DEP和ASLR在所有代码使用中的目的,就像一个图书馆,如果不使用DEP/ASLR的话很多努力都是无效的。”

  Kristensen表示,他希望这些技术的应用在未来会有所增加。

  “然而这不能作为不编写适当的安全代码的借口,DEP/ASLR在许多情况下可以挽救他们。”他说。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。