過去12年，微軟產品有七成漏洞是內存安全問題

據ZDNet的報導，日前，在以色列舉行的藍帽安全會議上，微軟安全工程師馬特·米勒表示，微軟旗下的產品在過去12年修復的所有漏洞中，有七成是內存安全問題。

一般來講，應用程序都是以不會導致錯誤的方式訪問操作系統內存，而軟體有意或者無意超出其分配大小的內存地址的方式訪問內存時，就會出現內存安全漏洞問題。其中，緩衝區溢出，競爭條件，分頁錯誤，空指針，堆棧耗盡，堆損壞，UAF漏洞或雙重釋放等術語都是描述內存安全漏洞的。

視窗系統多採用Ç語言和C ++語言編寫的，這成為微軟過去12年中內存安全漏洞頻發的主要原因.C/ C ++語言允許開發人員對可執行代碼的內存地址進行細緻控制，內存管理代碼的一個漏洞就可能導致大量的內存安全錯誤。攻擊者可利用這些錯誤來實現侵入性的操作，如遠程代碼執行，權限提升漏洞等。

該安全工程師稱，目前內存安全問題是各類系統和應用所面臨的最大攻擊來源，往往UAF漏洞和堆溢出成為現階段黑客常用的攻擊手段。


資料來源