IE零日漏洞因为开发人员没有正确培训

IE零日漏洞因为开发人员没有正确培训 日前，微软发布了IE紧急安全补丁，有报道称，该漏洞已经导致超过10000个站点被劫持，访问这些站点的用户都将被带往“毒窝”网站，大肆感染病毒。而如此高危的漏洞为何会被漏掉，微软负责安全代码开发的主管Michael Howard解释称，漏掉这一高危漏洞的原因是微软的开发人员没有接受正确的培训。

　　在发布IE紧急安全补丁KB960714的当天，Howard在微软安全开发周期博客上撰文解释了遗漏0day高危漏洞的原因，并对该漏洞和微软的代码编写和检测程序做出了分析。他表示，0day漏洞存在已有9年之久，微软开发人员漏掉该漏洞的原因是，他们没有接受正确的培训，在测试中使用的测试工具也不是最有效的。

　　他还补充说，该漏洞是存在于内存中的time-of-check-time-of-use（TOCTOU）漏洞，它很难通过代码检测或是静态代码分析发现。在对开发人员进行培训时，我们教过TOCTOU的问题，教过内存错误的问题，也教过闲置内存的问题，但却从未涉及到与内存相关的TOCTOU问题。

　　Howard是《Writing Secure Code》（《编写安全的代码》）的作者，他表示，微软检测工具包括fuzz也没能发现这个漏洞。“从理论上讲，fuzz可以发现这个Bug，但是现在没有fuzz测试的案例，检测该漏洞需要一个拥有相同标识符的多个数据绑定构造的数据流fuzzing工具，对这种数据类型的有效负载进行随机 fuzzing是无法发现该漏洞的。”

　　微软发现该漏洞后，曾警告用户浏览器出现问题。然而安全早已提前下手。犯罪分子已经利用这个安全漏洞安全了数千网站，只要用户用IE访问这些网站，即使不进行下载等操作，计算机也会受到感染。此后，微软打破“补丁星期二”的常规发布时间，在18日发布了IE紧急安全补丁。