微軟.jpg

 

　　11月13日消息，據《華盛頓郵報》網站報道，今天微軟發(fā)布補丁修復了Windows系統(tǒng)中的一個嚴重漏洞，這個漏洞可以被黑客用來遠程控制用戶的電腦。但是這個漏洞并非最近才出現，IBM的研究人員表示，該漏洞已經存在了近20年，這表明當前發(fā)現和修復漏洞的難度已經超過了代碼審核的難度。

 

　　“這個重大漏洞很長時間未被察覺，”IBM X-Force研究經理羅伯特·弗里曼（Robert Freeman）在一篇博文中表示，“它至少已經存在了19年，在過去18年中被遠程利用。”這個漏洞從Windows 95系統(tǒng)開始存在至今，他補充道。

 

　　IBM團隊表示，目前尚未找到任何證據表明這個漏洞已經被利用。不過，利用未知的計算機軟件漏洞進行網絡犯罪依然擁有巨大的市場。IBM表示，黑客可以通過該漏洞在這個市場上獲得六位數以上的利潤。

 

　　這并非長期存在的漏洞首次被發(fā)現。2010年，一名谷歌工程師發(fā)現了一個已經存在17年的Windows漏洞，這個漏洞覆蓋所有32位操作系統(tǒng)，它可以被黑客用于劫持電腦。今年9月，另一個名為Shellshock的安全漏洞被發(fā)現， 它已經存在了22年。還有其他的例子，比如臭名昭著的“心臟出血（Heartbleed）”漏洞，它在今年4月被發(fā)現時也已經存在了兩年。

 

　　顯然這些漏洞相當嚴重，那么為什么它們這么長時間未被發(fā)現和修復呢？

 

　　軟件開發(fā)和審核的過程是部分原因。假如你要建造一座橋，你將擁有該項目是否符合技術規(guī)范的明確定義，而代碼編寫不像這些傳統(tǒng)的工程任務。代碼是復雜的介質，你很難了解到它的多個部分如何共同運作，組合成最終的產品。

 

　　在多數情況下，產品開發(fā)人員會對軟件進行自我評估，并聘用測試人員查找那些明顯的缺陷。但是軟件真正的安全問題通常在發(fā)布之后才會被外部安全研究人員和黑客發(fā)現，包括微軟在內的許多公司通過漏洞發(fā)現獎勵的方式讓這個流程的速度更快。

 

　　盡管開發(fā)人員已經做了上述方面進行了努力，但是沒有人知道還有多少軟件漏洞尚未被發(fā)現，有時我們需要花上幾十年才能找到它們。