微软漏洞代码被泄露,主动防御项目遭质疑
山寨吧 发表于2012年3月23日 7:38
比特网Chinabyte3月19日编译,微软可信赖计算部门主管Yunsun Wee在公司官网声明中称,“被泄露的‘概念验证’代码的细节与微软向主动防御项目(MAPP)合作伙伴透露的漏洞信息吻合。”Wee表示,“微软将积极展开对这些细节被曝光的调查,并采取必要措施,根据合同和项目需求保证客户机密信息能被有效保护。”
在MAPP项目中,微软会提前告知各安全公司即将发布的补丁,该项目旨在为第三方安全厂商提供预警,以便他们能提前研究测试这些补丁。
意大利漏洞研究专家Auriemma表示,被泄露的“概念验证”代码与他给HP TippingPoint零日计划(Zero Day Initiative,ZDI) 项目提供的代码是一致的。他的代码后来被ZDI采用。
但ZDI团队否认自己泄露了信息。“我们有百分之百的信心说代码不是从我们这儿泄露出去的,”TippingPoint安全研究团队和ZDI负责人 Aaron Portnoy在一次采访中表示。
Portnoy表示,目前在黑客中流行的“概念验证”代码溢出不允许远程代码执行,但它能破坏脆弱的机器,Portnoy 还针对微软Wee有关代码相关性的阐述进行了回应。
微软于2008年推出了MAPP项目。该项目包含了79家安全厂商合作伙伴,包括AVG、思科、卡巴斯基、迈克菲、趋势科技和赛门铁克以及几家中国反病毒企业。
在MAPP项目中,微软会提前告知各安全公司即将发布的补丁,该项目旨在为第三方安全厂商提供预警,以便他们能提前研究测试这些补丁。
意大利漏洞研究专家Auriemma表示,被泄露的“概念验证”代码与他给HP TippingPoint零日计划(Zero Day Initiative,ZDI) 项目提供的代码是一致的。他的代码后来被ZDI采用。
但ZDI团队否认自己泄露了信息。“我们有百分之百的信心说代码不是从我们这儿泄露出去的,”TippingPoint安全研究团队和ZDI负责人 Aaron Portnoy在一次采访中表示。
Portnoy表示,目前在黑客中流行的“概念验证”代码溢出不允许远程代码执行,但它能破坏脆弱的机器,Portnoy 还针对微软Wee有关代码相关性的阐述进行了回应。
微软于2008年推出了MAPP项目。该项目包含了79家安全厂商合作伙伴,包括AVG、思科、卡巴斯基、迈克菲、趋势科技和赛门铁克以及几家中国反病毒企业。
全文完