一个Windows漏洞为何19年都没有发现?

一个Windows漏洞为何19年都没有发现?

黑帽SEO访客2021-10-12 0:41:005702A+A-

  IBM上周公布的漏洞不仅可以在Windows 95上运行,甚至连IE 11的沙盒机制都拿它没有办法。IBM早在五月份就把问题告诉了微软,但直到这周二微软才发补丁修复,可谓是一个“长老”级漏洞了。幸运的是目前并没有发 现任何人利用了此漏洞,也许这正是它能够埋藏19年的原因。

  无独有偶。2011年,微软就发补丁修复过一个潜伏期同 样长达19年的Windows漏洞。据发现者360声称,这个漏洞最早出现在1992年早期的Windows NT系统中,利用该漏洞可以获得电脑的最高权限,破坏杀毒软件、防火墙、还原系统、沙箱等各类安全软件,使电脑丧失对病毒的抵抗力。

  尽管如此,人们不禁要问,一个漏洞如何在长达19年的时间里没有被发现?软件开发中的真实情况究竟是什么?

  这段在运行在IE 3中的缺陷代码经历了许多系统版本依然存在,也就是说被重复的使用了一次又一次,即便是在一个全新的产品之中也在使用。

  问题在于旧代码通常不会有人去回溯。一名微软研究人员表示,这只是一段实现简单功能的代码,只要它能运行,没人在意它是否有漏洞,也没人想过去测试它是否存在漏洞,无论是在内部还是外部。

  由于这段代码是符合网页标准的,包括微软自己的标准。因此为了保证对旧网页的兼容性,微软也不会轻易地去触动这段代码。而且不要以为那些陈旧的垃圾网页没有多少,好多企业的历史事件、产品页、新闻发布都可以追溯到上个世纪90年代。

  于是,一个现实问题浮出水面。由于开发人员离开企业或调动岗位,旧代码通常不会有人去再次查看,也没有人想去查看。你想,一个IE的开发团队得到了一段90年代的代码,他们并不了解这段代码。这段代码运行正常,而且原开发人员已经离开。他们会怎样做?还是让它照常运行吧。

  二十年来,有多少这样的问题代码?回溯这些代码又需要多少人力物力?做不到?

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 痴妓喜余2022-06-06 09:11:45
  • 少这样的问题代码?回溯这些代码又需要多少人力物力?做不到? 
  • 颜于謓念2022-06-06 04:22:36
  • 要问,一个漏洞如何在长达19年的时间里没有被发现?软件开发中的真实情况究竟是什么?  这段在运行在IE 3中的缺陷代码经历了许多系统版本依然存在,也就是说被重复的使用了一次又一次,即便是在一个全新的产品之中也在使用。  问题在于旧代码通常不会有人去回溯。一名微软研究人员表示,这只是一段实现简

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理