Cigital安全警告太仓促吗?
牛牛在线视频-[qq登陆]
发布于 2019-08-14 17:29:54
9999+

下载游戏 周三晚些时候,位于弗吉尼亚州杜勒斯的Cigital告诉华尔街日报,微软最新创建Windows和.Net程序的工具存在缺陷,因为它给这家软件巨头提供了超过12小时的响应时间。 一些安全专家批评这一快速的公告是不负责任的。 “微软无法在一天内解决这个问题,”漏洞信息公司SecurityFocus工程副总裁Al Huger说。 “完全披露必须与负责任的披露相结合。” 该问题重新讨论了如何负责任地披露有关安全漏洞的信息。关于披露的思考范围介于两个极端之间:那些认为应该尽快公布潜在安全威胁的每个细节的人,以及那些认为不应该公布任何安全漏洞细节的人。 主流安全专家通常认为应该首先通知有缺陷的软件的创建者,并且根据缺陷的严重性,允许一定的时间来创建补丁来解决问题。 周三,在微软宣布推出最新的.Net和Windows应用程序工具的几个小时后,安全公司Cigital透露,该软件巨头的Visual C .Net和Visual C版本7存在一个有效使安全功能无效的缺陷。 Cigital的首席技术官Gary McGraw表示,该公司遵循公司宣布的不成文的负责任披露规则。 “我们的政策取决于缺陷的性质,”他说。 “如果它出现在那里并让正常用户接受'脚本小子'攻击,那么在披露这个漏洞之前还需要更多的时间。”安全社区使用术语“脚本小子”来描述技术上不熟练的在线破坏者。 然而,在这种情况下,McGraw表示这些工具刚刚公布,因此让开发人员知道不要使用受损功能更为重要。 该功能称为GS标志,是一个软件开关,可以在编译程序时打开。在打开交换机的情况下构建的任何程序都有额外的代码,可以在程序运行时检查频繁的安全问题,称为缓冲区溢出。但是,由于软件错误,恶意攻击者可以轻易绕过该功能,McGraw说。 他说,这意味着虽然问题不会使程序的安全性降低,但该功能的承诺远远超过实际提供的游戏大厅功能。 “这是一个非常可怕的缺陷吗?绝对不是,”麦格劳说。 “这是一个功能缺陷,我们敦促开发人员不要使用,因为他们会有一种虚假的安全感。” 这可能不会削弱微软的芥末。 自去年夏天以来,软件巨头一直在关于负责任披露的战争。 11月,该公司成立了一个尚未命名的组织,旨在为发布有关软件漏洞的信息创建一套标准。 微软的一位代表周四表示,“我们昨天早上才得到通知。” “这引发了有关负责任的报道行为的问题。” 巧合的是,位于华盛顿州雷德蒙市的公司正在审查整个Windows代码库中的安全问题。公司主席比尔盖茨向所有员工发送备忘录,敦促他们将安全和隐私放在第一位,这一努力发生了一个月。 然而,其他安全专家认为,在这种情况下,Cigital是安全的。 网络保护公司@Stake的研发主管Chris Wysopal表示,虽然与微软打交道并给予巨大时间回应更为谨慎,但向公众通报该漏洞是一个合理的解决方案。 “这一披露并没有给坏人提供支持,”他说。 “当Cigital发布这些信息时,我认为这不会让人们处于危险之中。” 去年,Cigital被认为是一个潜在的评论员,可以检查微软的.Net安全技术是否存在漏洞,但它失去了竞争对手。有人推测,Cigital不顾一切地宣传这个漏洞。 Cigital的麦格劳对这些影响提出了质疑。 “无论如何,这绝对没有真相,”他说。 “我们非常相信我们做了正确的事,我们以一种光荣的方式做到了。” 除了由安全公司Foundstone完成的.Net框架代码的外部审查之外,微软在12月份花了一个月的时间来审查Visual Studio.Net工具以解决问题。 McGraw说,他们显然还有改进的余地,因此开发人员应该学会依靠自己来制作安全的代码。 “对于开发人员来说,真正了解如何设计安全产品非常重要,”他说,“不要依靠编译器魔术来解决安全问题。”充值入口

X分享到微信朋友圈

打开微信,使用“扫一扫”,点击右上角“分享到朋友圈”。