Windows下僅有15%的公開DLL劫持漏洞被修復(fù)

Win7之家（ airtaxifl.com）：Windows下僅有15%的公開DLL劫持漏洞被修復(fù)

據(jù)國外媒體報道，斯洛文尼亞安全公司ACROS Security公布的數(shù)據(jù)顯示，僅有15%的公開DLL劫持漏洞被修復(fù)。

大約100天前，DLL漏洞和與EXE相關(guān)的加載漏洞被首度公布。此類漏洞源于微軟Windows平臺執(zhí)行文件搜索時的不當(dāng)操作，攻擊者可利用漏洞執(zhí)行任意代碼。

據(jù)安全信息服務(wù)商Secunia稱，到目前為止，僅有23個（共151個）DLL植入漏洞被修復(fù)。相反，7/8的已知EXE加載漏洞已經(jīng)被修復(fù)。

ACROS 公司總裁Mitja Kolsek在其博客中寫道：“有趣的是，在一些瀏覽器開發(fā)商首度曝光漏洞后，小型開發(fā)公司修復(fù)了多數(shù)的漏洞，或許主要是一些開源軟件公司。”

那么，究竟是什么原因使得大型開發(fā)公司修復(fù)軟件漏洞比較滯后呢？“一般而言，大型開發(fā)公司的補(bǔ)丁測試費(fèi)用較高，而且他們的商業(yè)模式無法為安全補(bǔ)丁提供豐厚的獎金，”Kolsek認(rèn)為。

2008年12月至2010年7月間，ACROS共統(tǒng)計到至少66個DLL植入漏洞，其中只有6%的漏洞被修復(fù)，另外的28個EXE植入漏洞都未被修復(fù)。

Kolsek表示：“不清楚受影響程序開發(fā)商是否知道存在的漏洞。”