1800 lỗi Office được phát hiện nhờ “Fuzzing”

Quản Trị Mạng - Một chuyên gia bảo mật của Microsoft hôm 31/03 cho biết, hãng đã phát hiện hơn 1800 lỗi Office 2010 khi kiểm tra các mã lực điện toán ở các máy tính.

Tom Gallagher, nhà bảo mật của Microsoft's Trustworthy Computing group cho biết các nhà thiết kế đã phát hiện các lỗi Office nhờ chạy hàng triệu chương trình kiểm tra “fuzzing”. "Fuzzing" là một chương trình được cả các nhà thiết kế phần mềm và các nhà nghiên cứu bảo mật sử dụng nhằm tìm ra các lỗi bằng cách chèn dữ liệu vào các parsers nhằm phát hiện lỗi chương trình. Do một số phần mềm xâm nhập trái phép có thể lợi dụng các lỗi crash để chèn các mã giả, “fuzzing” được cả các nhà nghiên cứu cũng như các tội phạm mạng dùng để nghiên cứu vấn đề bảo mật.

Trong bài phát biểu về những nỗ lực “fuzzing” của Microsoft tại hội thảo bảo mật CanSecWest, Vancouver, British Columbia, Gallagher cho biết: Chúng tôi đã phát hiện và sửa chữa khoảng 1800 lỗi trong các mã Office 2010. Mặc dù số lượng này khá lớn nhưng điều đó không có nghĩa là chúng tôi đã phát hiện ra 1800 vấn đề liên quan đến bảo mật. Chúng tôi cũng kỳ vọng sẽ có thể sửa chữa được cả các lỗi không liên quan đến bảo mật” .

Gallagher không đưa ra số lượng các lỗi bị phát hiện nhờ “fuzzing” mà chỉ cho biết họ đã phát hiện ra các lỗi bảo mật và đã sửa chữa các lỗi này. Một vài lỗi này cũng đã bị phát hiện trong các phiên bản trước của Office vì các thông tin có được từ Fuzzing Office 2010 được kiểm tra dựa trên mã của các phiên bản trước đó như Office 2007, Office 2003 và đã được sửa trong quá trình phát triển Office 2010.

Các lỗi không liên quan đến vấn đề bảo mật của Office 2010 xuất hiện ở các phiên bản trước sẽ được sửa chữa trong gói dịch vụ của phiên bản tiếp theo. Microsoft có khả năng tìm ra một số lượng lớn các lỗi như vậy của Office 2010 không chỉ ở các máy tính tại phòng thí nghiệm của hãng mà còn ở một số các máy tính không được sử dụng khác. Dự án The Search for Extraterrestrial Intelligence có thể là dự án đầu tiên nhằm phổ biến chương trình này và hiện tại cũng là dự án lớn nhất. Dự án này cũng sẽ được sử dụng để tìm ra số nguyên tố lớn nhất.

Liên quan đến cơ cấu Distributed Fuzzing (Distributed Fuzzing Framework) của Microsoft, Gallagher cho biết “chúng tôi gọi đây là botnet cho “fuzzing””. Mạng “fuzzing” được khởi tạo bởi David Conger, một nhà thiết kế phần mềm của nhóm Access.

Phần mềm khách hàng được cài đặt trên các hệ thống của mạng Microsoft sẽ tự động kích hoạt để chạy các bài kiểm tra “fuzzing” khi các máy tính không được sử dụng nữa, ví dụ như vào các cuối tuần. Gallagher cho biết “Chúng tôi có thể lặp lại hàng triệu bài kiểm tra fuzzing vào mỗi cuối tuần, con số này có thể lên đến 12 triệu trong một số trường hợp. Sự khác biệt giữa cách thức chạy chương trình fuzzing cũ so với DFF hiện tại của Microsoft là rất đáng kể. Nếu trước kia, quá trình này sẽ bắt đầu bằng việc khởi động các fuzzer trên một máy tính nào đó rồi sau đó sẽ để nó hoạt động trong khoảng 1 tuần thì giờ đây, người sử dụng chỉ cần khởi động chương trình, đi về nhà, đến văn phòng vào thứ Hai và sẽ nhận được các kết quả kiểm tra. Thay vì mất nhiều ngày để kiểm tra, giờ đây người sử dụng chỉ cần đến một giờ đồng hồ".

Trong khi tất cả các nhóm phát triển Office đều sử dụng DFF thì chỉ có một vài nhóm phát triển khác sử dụng chương trình này. Hiện tại, chỉ có SharePoint, MSN client và các nhóm nghiên cứu Fast đang sử dụng mạng fuzzing. Các nhóm phát triển Windows không sử dụng fuzzing.

Tuy nhiên, các nhà nghiên cứu về các lỗi phổ biến lại chỉ trích các nỗ lực fuzzing của Microsoft, Apple và Adobe. Vào tuần trước, Charlie Miller, người đã từng 3 lần chiến thắng trong các cuộc thi xâm nhập Pwn2Own, đã trình bày cách thức sử dụng một dạng “dumb fuzzer” đơn giản tại CanSecWest. Dạng “dumb fuzzer” này được thiết kế không phải để tìm ra các dạng văn bản cụ thể mà để diệt tận gốc các lỗi bảo mật và hàng trăm các lỗi crash khác, sử dụng chưa đến 5 máy tính. Miller đã tìm ra các lỗi của PowerPoint cũng như Mac OS X, trình duyệt Apple's Safari và Adobe's Reader.

Miller không cung cấp cho các nhà sản xuất thông chi tiết về các lỗi, trong đó có cả Microsoft, thay vào đó, ông đưa ra cách thức để các nhà sản xuất thay đổi phương thức thiết kế. Trong cuộc phỏng vấn với Computerworld tuần trước, Miller cho biết “Những gì tôi có thể làm là giúp họ tìm ra các cách phát hiện lỗi và thực hiện theo những gì tôi đã làm. Điều này có thể yêu cầu họ thực hiện nhiều fuzzing hơn”.

Gallagher cũng có mặt trong buổi thuyết trình của Miller nhưng ông không cam kết rằng Microsoft sẽ thực hiện như những gì Miller đã trình bày “Chúng tôi vẫn đang xem xét công nghệ này cũng như xem xét cách thức sao chép và cách chúng tôi có thể áp dụng”. Miller vẫn chưa có bất kỳ bình luận nào về Microsoft's Office fuzzing.

Việc Microsoft đẩy mạnh “fuzzing” là một phần của kế hoạch tăng cường bảo mật cho Office 2010 và thêm vào một vài tính năng mới, bao gồm việc chặn một số văn bản (đã được giới thiệu ở Office 2007) và chương trình Protected View mới có chức năng cô lập một số văn bản dạng Word, Excel và PowerPoint có dấu hiệu nghi ngờ nhằm cách ly chúng khỏi phần còn lại của máy tính. Gallagher thừa nhận “Chúng tôi cũng không hy vọng sẽ có thể nhận biết và sửa chữa được tất cả các lỗi của Office 2010” .

Thứ Năm, 01/04/2010 13:03
31 👨 1.193