Microsoft выявила более 1,8 тыс. ошибок в готовящемся Office 2010 благодаря использованию простаивающих ресурсов собственной компьютерной сети.
Единственная книга на русском языке, посвященная «фаззингу».
Разработчики офисного пакета применили так называемые нечеткие тесты (fuzzing), запуская их миллионы раз. Эти проверки, к которым прибегают многие девелоперы, позволяют находить «дыры», подавая на вход приложения неправильные, неожиданные или случайные данные.
Если программа аварийно завершается, или не справляется встроенный в нее верификатор, фиксируется ошибка. Ошибки потенциально могут определять уязвимые места приложений, и их закрытие позволяет предотвратить хакерские атаки.
Утверждается, что обнаружение 1,8 тыс. ошибок совсем не означает, что все они связаны с проблемами в подсистеме безопасности. Тем не менее избавление от них повышает стабильность Office 2010.
Подход «Майкрософт» к полезной эксплуатации простаивающих компьютерных ресурсов не нов. Его первым популяризатором был проект поиска внеземных цивилизаций SETI@home. Сейчас подобным занимаются распределенные проекты медицинских исследований и математических проблем.
По мнению Чарли Миллера (Charlie Miller), известного специалиста по вопросам безопасности, на недавнем ежегодном хакерском соревновании Pwn2Own 2010 в третий раз подряд продемонстрировавшего уязвимости в браузере Safari на Mac OS X, используемые в корпорациях нечеткие тесты слишком слабы, чтобы противостоять потенциалу злоумышленников.
Г-н Миллер показал собственные несложные нечеткие тесты, позволившие ему за короткое время обнаружить двадцать уязвимостей подсистем безопасности и сотни критических ошибок в PowerPoint, Mac OS X, Safari и Adobe Reader.