11月13日消息,據《華盛頓郵報》網站報道,今天微軟發布補丁修複了Windows系統中的一個嚴重漏洞,這個漏洞可以被黑客用來遠程控制用戶的電腦。但是這個漏洞並非最近才出現,IBM的研究人員表示,該漏洞已經存在了近20年,這表明當前發現和修複漏洞的難度已經超過了代碼審核的難度。
“這個重大漏洞很長時間未被察覺,”IBM X-Force研究經理羅伯特·弗裏曼(Robert Freeman)在一篇博文中表示,“它至少已經存在了19年,在過去18年中被遠程利用。”這個漏洞從Windows 95系統開始存在至今,他補充道。
IBM團隊表示,目前尚未找到任何證據表明這個漏洞已經被利用。不過,利用未知的計算機軟件漏洞進行網絡犯罪依然擁有巨大的市場。IBM表示,黑客可以通過該漏洞在這個市場上獲得六位數以上的利潤。
這並非長期存在的漏洞首次被發現。2010年,一名穀歌工程師發現了一個已經存在17年的Windows漏洞,這個漏洞覆蓋所有32位操作系統,它可以被黑客用於劫持電腦。今年9月,另一個名為Shellshock的安全漏洞被發現, 它已經存在了22年。還有其他的例子,比如臭名昭著的“心髒出血(Heartbleed)”漏洞,它在今年4月被發現時也已經存在了兩年。
顯然這些漏洞相當嚴重,那么為什么它們這么長時間未被發現和修複呢?
軟件開發和審核的過程是部分原因。假如你要建造一座橋,你將擁有該項目是否符合技術規范的明確定義,而代碼編寫不像這些傳統的工程任務。代碼是複雜的介質,你很難了解到它的多個部分如何共同運作,組合成最終的產品。
在多數情況下,產品開發人員會對軟件進行自我評估,並聘用測試人員查找那些明顯的缺陷。但是軟件真正的安全問題通常在發布之後才會被外部安全研究人員和黑客發現,包括微軟在內的許多公司通過漏洞發現獎勵的方式讓這個流程的速度更快。
盡管開發人員已經做了上述方面進行了努力,但是沒有人知道還有多少軟件漏洞尚未被發現,有時我們需要花上幾十年才能找到它們。