三轮车棚厂家
免费服务热线

Free service

hotline

010-00000000
三轮车棚厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

防堵零时差攻击微软祭出新作法

发布时间:2020-02-19 08:05:28 阅读: 来源:三轮车棚厂家

微软每个月第2个星期二定期公布的漏洞修补,成为黑客作为零时差攻击(Zero Day Attack)的温床。微软日前在美国黑帽大会(Black Hat)上宣布,将调整漏洞修补作法,提前告知合作的第三方厂商,由此降低黑客透过逆向分析手法,找到系统漏洞,而由此发动零时差攻击。

这世上没有完美的产品,所有产品都有改善的空间。对许多安全公司或独立的安全研究员而言,发现漏洞、公布漏洞、修补漏洞是一个正常的漏洞修补程序。不过,目前业界对于弱点的揭露、公布以致修补的流程做法,并没有共识。

微软在黑帽大会上宣布,每个月第2个星期二安全性修补日的漏洞修补,至少会提前一天告知相关的合作伙伴或第三方合作厂商。李伦铨表示:「微软的作法是正确的,这有助于软件供货商提升自我的安全性,又能降低企业遭受零时差冲击的机率。」

李伦铨指出,以往就有黑客利用微软定期发布修补程序的机会,透过特殊程序分析系统修补状态,一旦知道系统修补了什么弱点后,就直接写出攻击程序。「微软的漏洞修补日,是被黑客利用来研发漏洞并发动攻击的摇篮。」他说。

微软服务器平台事业部资深产品营销经理罗廷仪表示,以往微软对于弱点揭露和后续的漏洞修补都比较被动,但现在微软对于弱点揭露则抱持主动态度,「不论是网站或者是800免费客服系统,都欢迎安全人员主动提供相关的漏洞信息,微软会有专门团队进行后续的漏洞确认和追踪。」她说。

阿码科技(Armorize)执行长黄耀文表示,有很多厂商在面对安全研究员提出他们产品相关弱点时,很多公司第一件事情就是要求签署NDA(不对外公布条约),不签署NDA,厂商也不愿意跟研究员进一步谈论。黄耀文不讳言,他也曾经面对相同的情况。他说,对于安全研究员而言,发现各种弱点都是该研究员信誉的累积,面对厂商不愿意面对可能的弱点揭露,只要求安全研究员封口的作法,不愿意折衷出一个两全其美的方式,都只会扼杀安全能量进一步的发展。罗廷仪则表示,目前微软不再要求安全研究员签署任何NDA。

钻采行业试验机公司

济南机车类试验机公司

疲劳爆破试验机公司