[[9843]]

據(jù)資訊網站Computerworld報道，本周，微軟進行的一項測試顯示Office 2010中有1800處需要重新編寫代碼。

據(jù)公司安全測試部門主管湯姆•加拉格爾透露，微軟此次采用的測試方式是建立一個類似于僵尸網絡的龐大測試體系，大約有1200萬臺測試主機。研究人員只需將測試代碼輸入其中的一部電腦后，無需太多操作，即可搜集到海量反饋信息。由于可以節(jié)省大量人力，所以被用作分析軟件安全性的重要測試手段。

該方法需要軟件開發(fā)人員和安全研究人員共同配合，在軟件的被測部分植入格式分析器查看程序的運行情況。

值得注意的是，加拉格爾強調，雖然在測試中發(fā)現(xiàn)并修補了1800個Bugs，但這并不能代表Office 2010存在相同的安全問題。他堅持不應該使用“vulnerabilities”來形容上述缺陷，因為Bugs中很大一部分與安全問題無關且危害性很小，微軟將通過服務包Server Package或升級補丁完成修復工作。

在上周進行的Pwn2Own黑客大賽中，三屆MacOS終結者查理·米勒正是通過五部電腦和一些常見的Fuzzer發(fā)現(xiàn)了Safari瀏覽器中的數(shù)十個安全漏洞。

新版Office 2010中添加的安全功能包括更加靈活的文件攔截機制（曾在Office 2007中出現(xiàn)）、獨立沙盒系統(tǒng)用于測試可疑文檔等，目前Office 2010已經開放給公眾下載使用。

fuzzing是一種高度自動化軟件檢測技術。提供受測試軟件隨機產生的資料，借此觀察軟件是否因此發(fā)生故障（如當機），可以提供全面性的檢測；缺點是智能化程度不夠，效率偏低。

【編輯推薦】

1. 微軟以矛攻盾新技術助Office2010找bug
2. Office 2010帶給我們的五個安全教訓