国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　近日，Trustworthy Computing發(fā)布了新的陳述，查詢拜訪了微軟減緩安然縫隙的辦法在安然標(biāo)題問題上的影響。這份陳述基在過往七年間微軟經(jīng)由過程安然進(jìn)級措置過的被黑客操縱的縫隙的研究。這一研究專注于評估各類被黑客操縱的縫隙的類型，被報復(fù)打擊的產(chǎn)品的版本和被黑客利用的縫隙操縱手段在過往的趨勢。

　　這份陳述中有幾個關(guān)頭，被稱作軟件縫隙的操縱編制，包含：

　　每年已知可以操縱的長途代碼履行縫隙(RCE)數(shù)量正在降落。

　　縫隙最常常在安然補丁發(fā)布以后才被操縱。雖然這些年在安然補丁發(fā)布之前就被操縱起來的縫隙的百分比有所增加。？

　　圖1：在補丁發(fā)布之前和以后被操縱的CVE縫隙所占的百分比

　　倉庫溢出漏洞曾是最多見的縫隙操縱類別?？墒谴丝桃押苌倭?。倉庫溢出漏洞的利用率從2006年的43%降落到了2012年的7%。

　　圖2：已知可以被操縱的CVE縫隙的類別漫衍

　　釋放后利用(Use-After-Free)縫隙此刻是最多見的縫隙操縱類別。

　　縫隙操縱愈來愈依托于能繞開數(shù)據(jù)履行呵護(hù)(DEP)和地址空間布局隨機化(ASLR)的手藝。

　　圖3：經(jīng)由過程各類不合的手藝操縱的CVE縫隙的數(shù)量

　　這個研究中還有大年夜量數(shù)據(jù)，可以幫我們理解使縫隙操縱變得加倍堅苦的身分。這份基于該研究的陳述為我們供給了若何削減被進(jìn)侵的可能性和治理風(fēng)險的具體建議。

　　我們建議機構(gòu)中負(fù)責(zé)治理風(fēng)險的人士瀏覽這篇論文。

　　你可能會好奇我們?yōu)樯趺催M(jìn)行如許一個研究。我熟諳的良多客戶都對利用軟件縫隙的數(shù)量來評估他們的軟件供給商在開辟嚴(yán)重縫隙更少的軟件上的進(jìn)步的編制感歡愉愛好。我們在微軟安然諜報陳述(SIR)中發(fā)布各類縫隙數(shù)量統(tǒng)計，可是如許的數(shù)據(jù)仿佛意味著各類縫隙帶來的風(fēng)險是不異的。當(dāng)我們細(xì)心研究那些真的被報復(fù)打擊者操縱的類別和它們是若何被操縱的時辰。我們能更直不雅的看到正在產(chǎn)生的趨勢，和若何高效的治理相干風(fēng)險。

　　此次研究是由微軟安然工程中間(MSEC)和微軟安然響應(yīng)中間(MSRC)進(jìn)行的。MSEC有著業(yè)內(nèi)最進(jìn)步前輩的安然科學(xué)團(tuán)隊。安然科學(xué)團(tuán)隊可以或許在以下三個方面幫忙到客戶：

　　幫忙發(fā)現(xiàn)軟件縫隙

　　開辟法度員應(yīng)當(dāng)接管的縫隙減緩手藝和東西。安然科學(xué)團(tuán)隊的研究功能凡是會供給微軟安然開辟流程(SDL)，一種每個微軟產(chǎn)品開辟中都需要強迫履行的過程。方針是使每個把持系統(tǒng)、瀏覽器和利用法度的新版本都比之前的版本更難報復(fù)打擊，讓報復(fù)打擊者的歹意報復(fù)打擊都加倍堅苦和需要更高成本。

　　在威脅環(huán)境中延續(xù)監(jiān)測威脅趨勢和勾當(dāng)，并且將學(xué)到的新手藝用來改進(jìn)微軟的東西和流程。當(dāng)測定到新威脅進(jìn)進(jìn)到生態(tài)系統(tǒng)中時，MSRC和微軟響應(yīng)流程會頓時運作起來。