微軟.jpg

 

　　11月13日消息，據(jù)《華盛頓郵報》網(wǎng)站報道，今天微軟發(fā)布補(bǔ)丁修復(fù)了Windows系統(tǒng)中的一個嚴(yán)重漏洞，這個漏洞可以被黑客用來遠(yuǎn)程控制用戶的電腦。但是這個漏洞并非最近才出現(xiàn)，IBM的研究人員表示，該漏洞已經(jīng)存在了近20年，這表明當(dāng)前發(fā)現(xiàn)和修復(fù)漏洞的難度已經(jīng)超過了代碼審核的難度。

 

　　“這個重大漏洞很長時間未被察覺，”IBM X-Force研究經(jīng)理羅伯特·弗里曼（Robert Freeman）在一篇博文中表示，“它至少已經(jīng)存在了19年，在過去18年中被遠(yuǎn)程利用。”這個漏洞從Windows 95系統(tǒng)開始存在至今，他補(bǔ)充道。

 

　　IBM團(tuán)隊表示，目前尚未找到任何證據(jù)表明這個漏洞已經(jīng)被利用。不過，利用未知的計算機(jī)軟件漏洞進(jìn)行網(wǎng)絡(luò)犯罪依然擁有巨大的市場。IBM表示，黑客可以通過該漏洞在這個市場上獲得六位數(shù)以上的利潤。

 

　　這并非長期存在的漏洞首次被發(fā)現(xiàn)。2010年，一名谷歌工程師發(fā)現(xiàn)了一個已經(jīng)存在17年的Windows漏洞，這個漏洞覆蓋所有32位操作系統(tǒng)，它可以被黑客用于劫持電腦。今年9月，另一個名為Shellshock的安全漏洞被發(fā)現(xiàn)， 它已經(jīng)存在了22年。還有其他的例子，比如臭名昭著的“心臟出血（Heartbleed）”漏洞，它在今年4月被發(fā)現(xiàn)時也已經(jīng)存在了兩年。

 

　　顯然這些漏洞相當(dāng)嚴(yán)重，那么為什么它們這么長時間未被發(fā)現(xiàn)和修復(fù)呢？

 

　　軟件開發(fā)和審核的過程是部分原因。假如你要建造一座橋，你將擁有該項目是否符合技術(shù)規(guī)范的明確定義，而代碼編寫不像這些傳統(tǒng)的工程任務(wù)。代碼是復(fù)雜的介質(zhì)，你很難了解到它的多個部分如何共同運(yùn)作，組合成最終的產(chǎn)品。

 

　　在多數(shù)情況下，產(chǎn)品開發(fā)人員會對軟件進(jìn)行自我評估，并聘用測試人員查找那些明顯的缺陷。但是軟件真正的安全問題通常在發(fā)布之后才會被外部安全研究人員和黑客發(fā)現(xiàn)，包括微軟在內(nèi)的許多公司通過漏洞發(fā)現(xiàn)獎勵的方式讓這個流程的速度更快。

 

　　盡管開發(fā)人員已經(jīng)做了上述方面進(jìn)行了努力，但是沒有人知道還有多少軟件漏洞尚未被發(fā)現(xiàn)，有時我們需要花上幾十年才能找到它們。