Windows 7已經(jīng)發(fā)布了一段時間，越來越多的用戶開始嘗試這個全新的操作系統(tǒng)。號稱最安全的操作系統(tǒng)，微軟的如此自信使得更多的用戶傾向于它，但是Windows 7的安全性是不是真的如同傳說一般牢不可破呢？

據(jù)國外媒體報道，本周二，微軟正式回應(yīng)Windows 7被黑客攻破事件，官方對Windows 7保持樂觀態(tài)度，并強調(diào)系統(tǒng)中的DEP、ASLR等防護(hù)機制仍然發(fā)揮作用。

加拿大溫哥華舉行了2010年度《Pwn2Own黑客大賽》。據(jù)主辦方安全軟件公司3ComTippingPoiny透露，兩天不到的時間內(nèi)，iPhone/Safari/IE8/Firefox等產(chǎn)品均已被攻破，其中IE 8只堅持了2分鐘。

大會參賽者彼得·付登希爾利用“technically impressive”攻擊代碼繞過IE 8中的DEP動態(tài)數(shù)據(jù)保護(hù)功能，成功入侵后獲得1萬美元的獎金。賽后接受采訪時，彼得表示面對微軟號稱最安全的操作系統(tǒng)Windows 7，他并沒有害怕，在耗費數(shù)天時間研究后終于找到繞過防護(hù)機制的方法，實施一次成功的入侵。迫于大會規(guī)定，彼得并沒有透露更多細(xì)節(jié)

對此，IE高級產(chǎn)品經(jīng)理皮特·萊佩吉表示，以IE保護(hù)模式中的“Defense-in-depth”技術(shù)為例，該策略并不能保證攔截每一次攻擊，它只能保護(hù)漏洞盡量不被利用。

據(jù)悉，DEP(數(shù)據(jù)執(zhí)行保護(hù))是微軟在2004年發(fā)布XP SP2中新添的安全機制，為了防止數(shù)據(jù)頁執(zhí)行代碼;

而另一項ASLR(地址空間配置隨機化)技術(shù)，可以每次在電腦啟動的時候?qū)⒚荑€系統(tǒng)文件加載到不同的存儲位置，使得惡意代碼很難順利運行，從而防止惡意代碼利用緩沖溢出發(fā)起攻擊。

去年夏天，微軟安全響應(yīng)中心專家羅伯特·亨辛就發(fā)出警告，他認(rèn)為DEP技術(shù)只是一種緩沖攻擊的工具，無法100%防御電腦。

不過，著名的Mac黑客查理·米勒承認(rèn)，由于Windows 7操作系統(tǒng)中DEP/ASLR等技術(shù)的存在，實施攻擊變得比以前更加困難了。他希望通過行動向人們證明：世界上目前還不存在“無須打補丁”的操作系統(tǒng)。

【編輯推薦】

1. Windows TCP/IP協(xié)議棧存在嚴(yán)重遠(yuǎn)程安全漏洞
2. 微軟新圖片漏洞可導(dǎo)致木馬傳播 建議立即更新
3. MS09-002利用代碼公布:XP到2008用戶皆面臨打擊
4. Windows內(nèi)核圖像文件漏洞揭示嚴(yán)重安全問題
5. 網(wǎng)絡(luò)入侵防范中心：關(guān)注librpc.dll漏洞