信息來源：IT時(shí)報(bào)

微軟安全工程師Matt Miller上周在以色列舉行的BlueHat安全會(huì)議上表示，在過去的12年中，每年通過安全更新解決的微軟產(chǎn)品所有漏洞中約有70％是內(nèi)存安全問題。

內(nèi)存安全是軟件和安全工程師使用的術(shù)語，描述應(yīng)用程序以不會(huì)導(dǎo)致錯(cuò)誤的方式訪問操作系統(tǒng)內(nèi)存。當(dāng)軟件無意或有意以超出其分配大小和內(nèi)存地址的方式訪問內(nèi)存時(shí)，就會(huì)出現(xiàn)內(nèi)存安全漏洞。

這種高百分比的原因是因?yàn)閃indows主要使用C和C ++編寫，這兩種“內(nèi)存不安全”編程語言允許開發(fā)人員對(duì)可以執(zhí)行代碼的內(nèi)存地址進(jìn)行細(xì)粒度控制。開發(fā)人員的內(nèi)存管理代碼中的一個(gè)漏洞可能導(dǎo)致大量的內(nèi)存安全錯(cuò)誤，攻擊者可以利用這些漏洞進(jìn)行入侵 - 如遠(yuǎn)程代碼執(zhí)行或特權(quán)提升等。

內(nèi)存安全錯(cuò)誤是當(dāng)今黑客面臨的最大攻擊點(diǎn)，攻擊者似乎正在利用其可用性。根據(jù)Miller的演示，在攻擊者針對(duì)漏洞進(jìn)行攻擊時(shí)，使用免費(fèi)和堆損壞漏洞仍然是首選漏洞。