11月13日消息,据《华盛顿邮报》网站报道,今天微软发布补丁修复了 Windows系统中的一个严重漏洞,这个漏洞可以被黑客用来远程控制用户的电脑。但是这个漏洞并非最近才出现,IBM的研究人员表示,该漏洞已经存在了近20年,这表明当前发现和修复漏洞的难度已经超过了代码审核的难度。
“这个重大漏洞很长时间未被察觉,”IBM X-Force研究经理罗伯特·弗里曼(Robert Freeman)在一篇博文中表示,“它至少已经存在了19年,在过去18年中被远程利用。”这个漏洞从Windows 95系统开始存在至今,他补充道。
IBM团队表示,目前尚未找到任何证据表明这个漏洞已经被利用。不过,利用未知的计算机软件漏洞进行网络犯罪依然拥有巨大的市场。IBM表示,黑客可以通过该漏洞在这个市场上获得六位数以上的利润。
这并非长期存在的漏洞首次被发现。2010年,一名谷歌工程师发现了一个已经存在17年的Windows漏洞,这个漏洞覆盖所有32位操作系统,它可以被黑客用于劫持电脑。今年9月,另一个名为Shellshock的安全漏洞被发现, 它已经存在了22年。还有其他的例子,比如臭名昭著的“心脏出血(Heartbleed)”漏洞,它在今年4月被发现时也已经存在了两年。
显然这些漏洞相当严重,那么为什么它们这么长时间未被发现和修复呢?
软件开发和审核的过程是部分原因。假如你要建造一座桥,你将拥有该项目是否符合技术规范的明确定义,而代码编写不像这些传统的工程任务。代码是复杂的介质,你很难了解到它的多个部分如何共同运作,组合成最终的产品。
在多数情况下,产品开发人员会对软件进行自我评估,并聘用测试人员查找那些明显的缺陷。但是软件真正的安全问题通常在发布之后才会被外部安全研究人员和黑客发现,包括微软在内的许多公司通过漏洞发现奖励的方式让这个流程的速度更快。
尽管开发人员已经做了上述方面进行了努力,但是没有人知道还有多少软件漏洞尚未被发现,有时我们需要花上几十年才能找到它们。