微軟使用類似僵屍網絡的技術進行Office2010漏洞檢測

微軟公司的工程師們最近利用一種名為“Fuzzing”的測試技術發現了Office2010軟體中的1800多處bug。

Fuzzing測試技術是軟體開發者和安全專家們常用的一種新型軟體bug自動化測試技術，其原理是自動用随機的方式将軟體所需處理的資料進行修改，使這些資料成為非法資料，并測試軟體對這些非法資料的響應狀況。在某些情況下，向軟體傳輸非法資料會導緻程式崩潰并産生黑客可利用的漏洞，黑客可利用這些漏洞來插入惡意代碼等。對Fuzzing測試技術的研究是目前黑白兩道的安全專家們的熱點所在。

“我們在Office2010的代碼中發現了1800多處bug，”微軟可信賴計算部門（Trustworthy Computing group）的首腦Tom Gallagher表示，“盡管bug的數量較多，但需要說明的是這些bug并不等同于安全漏洞。我們也會積極地修補其中一些涉及系統安全的漏洞。”不過他拒絕透露這些bug中涉及系統安全漏洞的bug的具體數量，隻稱微軟的Office2010開發組确實發現了一些安全漏洞。

Gallagher還表示，Office2010先前版本的Office軟體中，一些與這次新發現的Office2010的非安全性性bug類似的漏洞則會在最新的sp更新版本中得到修複。

有趣的是，這次微軟用來進行Office2010 Fuzzing測試的工具不隻是公司試驗室中的機器，他們還動用了公司閑置的員工用電腦進行這項測試。這種測試方法與Prime95等協同計算程式的理念非常相似，就是利用網際網路上的許多機器來分别負責一部分計算，在客戶機處于閑置狀态時，安裝在客戶機上的這種軟體會自動開始Fuzzing計算，然後再将這些計算的結果通過網絡傳輸給伺服器合并成最終的計算結果，從某種程度上看，這種技術與僵屍網絡的設計思想也非常相同。

“我們稱這種計算網絡為Fuzzing用僵屍網絡，”Gallagher風趣地将這種學名為分布式Fuzzing架構（DFF）的技術稱為僵屍網絡。據稱這種Fuzzing僵屍網絡測試技術是由Access團隊的設計師David Conger所開發出來的。

過去，微軟公司做Fuzzing測試的方法則是在單台機器上連續運作一周時間，而現在“我們不需要花太多的力氣就可以做1200萬次運算”Gallagher稱：“過去要花數天時間完成的計算現在隻要一個小時就能完成了。”

盡管Office開發團隊已經在使用這種DFF測試技術，但微軟公司内部隻有少數的幾個其它開發團隊也在使用類似的技術，目前隻有SharePoint團隊，MSN用戶端團隊，Fast search團隊在使用DFF測試技術，而Windows開發團隊則沒有使用這種技術。

不過微軟的這種做法則遭到了一些安全專家的嘲笑，指其做法相當"愚笨",而且還嘲笑微軟，蘋果以及Adobe公司對其軟體所作的Fuzzing測試很不充分.三屆Pwn2Own黑客技能競賽的得主Charlie Miller上周在訪談節目的現場，使用了一種非常簡單的Fuzzing測試技術，隻使用了5台電腦，便測試出了微軟Powerpoint，Mac OSX，蘋果Safari以及Adobe Reader軟體中存在的20處安全漏洞和數百了可引起程式崩潰的bug。

Miller拒絕透露這些軟體漏洞的細節資訊，不過他提供了他所使用的測試方法的細節。他表示：“我隻是想教教他們該如何正确地找出程式的這些bug，這樣他們以後做Fuzzing測試時就會更仔細小心。”