VS.Net 被发现存在安全隐患

安全专家发现微软新发布的开发工具VS.net含有一个安全隐患，这个安全隐患可以引导开发者不经意的编写出含有安全漏洞的程序。

这个安全问题出现在微软周三发布的Visual Studio.Net开发工具包中的Visual C++.Net编译器中。Visual Studio.Net 包含了微软公司的新版本软件开发工具, 如 Visual Basic, Visual C++ 和新的类Java语言C#。

软件安全公司Cigital 说Visual C++.Net编译器中包含一个称为“缓存溢出”的漏洞。编译器是一个用来将程序员编写的代码转换成机器可识别的语言的软件。可是很讽刺的是，微软可能为了防止另一类漏洞而制造了这个漏洞。缓存溢出可以通过精心编排的命令格式使系统崩溃或执行任意程序及恶意代码。

“这里存在一个位置，可以让你在这个堆栈跟踪函数的调用过程。这个堆栈里保存有各种各样的信息，比如局部变量以及堆栈的指向位置的指针，” 发现这个问题的Dulles Va.based Cigital公司的首席技术官Gary McGraw说。

“缓存溢出是一种导致地址返回的原因，这个地址就是程序将要运行的位置，当一个子程序被中止以后，就会转而运行攻击者或者说入侵者的代码，” McGraw说。

微软公司声称：这个缺点并不会引起很大的问题，不必过分恐慌。

“这个过程看起来像是我们正在调查的与狭隘的，技术的缺乏有关系。由于我们也仅仅是在昨天才被告知这一情况，所以现在还不知道任何关于这件事的更多的信息，” Jim Desler，微软公司的发言人如是说。

“在我们与.Net有关系的产品中，我们对与安全性有关的问题一直非常重视，并且已经在生产过程中就我们产品的安全性问题作了大量的工作，这也是我们的宗旨之一，”他补充道。

因为这款软件是刚刚才被发布的，所以它现在所表现出来的问题并不是如此的严重，McGraw又说。
“这是相当复杂的，对人们来说这并不是很容易产生，但这确实是我们的软件工具出现的问题，” McGraw说。“如果程序开发者们特别依赖这个有安全隐患的问题，他们会在制作过程中也出现错误。”

至今为止，还没有来自程序开发者关于发生问题或错误的报告。虽然这个工具包在星期三才被发布出来，微软公司声称有超过三百五十万的程序开发者已经拥有了Visual Studio.Net这款软件的beta测试版本。这在微软公司的历史上，也是最大的一次广泛传播其beta测试版本的行动。

在试图防止利用缓存溢出的进攻时，微软公司很明显的采用了一种被称之为StackGuard的技术，这种技术是使用在采用开放型资源来生产编译器的群体中对抗缓存溢出的攻击，McGraw说。

但是StackGuard这项技术本身却还存在着许多的弱点，McGraw说这些弱点已经在一本黑客杂志中被发表了出来。

这条新闻来源于微软公司在尽最大努力提高其软件产品的安全性的过程中。在经过Redmond, Wash.-based 软件公司遭受了一系列的令人窘困的安全性问题之后，微软公司总裁比尔.盖茨在上个月对公司的所有员工发布了一个备忘录，该备忘录声称以后可以令人信赖的是微软公司将把安全性问题设置成为最高级优先权考虑解决的问题。

这个编译器程序的新的附加的特性是支持让该款编译器程序的使用者们能够使自己编制的程序变得更加的安全可靠。

微软公司以它自己的风格来表达它对于这些软件设计上的缺陷的关注。

“我们非常关心它的原因是由于它返回报告给我们的方式，”Desler说。“职业的安全问题公司是不以这种方法处理安全性问题的，经过与卖主相接触，我们也在同时发布了关于这件安全问题事件的新闻稿。”

Cigital公司已经被微软公司考虑参加其.Net产品安全技术的回顾与评估，但是却不是经过挑选的。不经过挑选导致了许多关于Cigital公司曾经宣扬此产品缺陷的猜测。

根据McGraw所说的话，这些种种的猜测是“毫不相干的。我们为许多许多的公司做软件的安全工作，这些生产软件的公司遍布世界。我们专心致力于我们的工作。这次的情况同样也没有任何的特别之处。”

安全问题公司拥有程序编写者最核心的利益，McGraw说。“所有我们所试图去做的只是在告诉人们，不要使用这个安全特性，不要依赖它。用适当的方式来编写程序代码，用适当的办法来设计程序，测试程序，不要指望这个编译器能为你的软件增加安全性。”