您的位置:首页 / 科技综合 /Windows

黑客竞赛IE 8被攻破 微软出面辩护自家产品安全

ZDNetnews 更新时间:2010-03-31 07:22:53作者:CNET科技资讯网

本文关键词: Windows | 微软 | 黑客 | IE 8 | IE8 |

CNET科技资讯网3月31日国际报道 虽然Internet Explorer 8,只是最近一场专业黑客竞赛中被攻破的产品之一,微软仍挺身扞卫自家产品的安全性。

微软官方Windows Security博客,特别讨论了竞赛中被突破的两项安全机制,并解释IE的安全技术不是用来随时阻挡每一种攻击,而是针对延缓恶徒的行动,让他们更难利用漏洞。

上周三在温哥华举行的年度Pwn2Own黑客竞赛,来自全球各地的安全专家和研究人员,奋力竞逐最佳黑客的荣誉。得奖的参赛者不只击溃Windows 7上的IE8,连未解锁的iPhone、Snow Leopard上的Safari和Windows 7上的Firefox,全都难逃被黑的命运。

成功回避IE8安全机制、赢得1万美元奖金的独立安全研究人员Peter Vreugdenhil表示,他设法躲过了IE8两大防御功能:ASLR(地址空间编排随机化)和DEP(数据执行防止)。

IE团队的产品经理Pete LePage,在微软博客特别提及这件事。ASLR是为了阻止黑客取得能用来破坏程序代码的内存地址。DEP可以防止恶意程序在原本不该执行任何档案的内存内执行。

为说明这些安全防护运作的方式,LePage将电脑比喻成一个防火的保险箱。缺少这些防护,防火保险箱只能保护其内容物一、两个小时。更强大的防火保险箱,即使拥有若干深度防御功能,仍无法永远保证内容物的安全,但可大幅增加内容物保存与受保护的时间。

他表示,ASLR和DEP仍是高度有效的保护机制。

Vreugdenhil解释,要成功骇入IE8,目标电脑必须先造访一个带有恶意程序的网站。然后,他才能窃取该电脑使用者的权利,在远端执行软件,如Windows计算机。骇入Firefox的安全研究人员也说,他绕过了ASLR和DEP才得以控制受害电脑。

    

好看好玩

用户评论

用户评论

  • 用户名
  • 评论内容

CNET Networks
Copyright ? 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
京ICP证150369648号 京ICP备15039648号-2
京公网安备 11010802021500号