Từ điển
Dịch văn bản
 
Tất cả từ điển
Tra từ
 
 
Dịch song ngữ - Khoa học - Công nghệ
Microsoft releases application security tool kit for developers
Microsoft phát hành bộ công cụ bảo mật ứng dụng cho các nhà phát triển
Microsoft updates its EMET tool kit, designed to help developers thwart attacks against their applications.
Microsoft cập nhật bộ công cụ EMET của hãng, được thiết kế để giúp các nhà phát triển ngăn chặn các cuộc tấn công nhằm vào các ứng dụng của họ.

Microsoft updates its EMET tool kit, designed to help developers thwart attacks against their applications.

Microsoft released an updated version of a tool kit Sept. 2 to help developers make their applications more secure.

With the Enhanced Mitigation Experience Toolkit 2, Microsoft said, developers can bring technologies such as dynamic data execution prevention to bear to improve security, particularly for older programs that cannot be recompiled to opt in to the security technologies.

The updated tool kit features a total of six mitigations, including two new ones: Export Address Table Access Filtering and Mandatory Address Space Layout Randomization.

Export Address Table Access Filtering "is designed to break nearly all shellcode in use today" as it "blocks a common technique shellcode uses" to locate Windows APIs, Microsoft said Aug. 5. The Mandatory Address Space Layout Randomization mitigation works by "[forcing] modules to be loaded at randomized addresses for a target process regardless of the flags it was compiled with."

Application mashups require a strong security approach.

"By deploying these mitigation technologies on legacy products, the tool can also help customers manage risk while they are in the process of transitioning over to modern, more secure products," said a Microsoft Security Research & Defense post Sept. 2. "In addition, it makes it easy for customers to test mitigations against any software and provide feedback on their experience to the vendor."

Secunia security researchers revealed in a July 1 report that many application developers were not taking advantage of protections Microsoft put in place to prevent attacks. According to the Secunia report, many developers have improperly implemented Address Space Layout Randomization in their programs. The report also found developers have done a poor job of implementing Microsoft's DEP (Data Execution Prevention) protections as well.

"I applaud Microsoft for their continued release of tools such as this," Forrester Research analyst Mike Gualtieri said. "Unfortunately, I think is mostly falls on deaf ears since most developers I speak with pay only lip service to the idea of more secure applications."

Microsoft has published a video demonstration of using the tool that can be viewed here.

Microsoft cập nhật ̣ công cụ EMET của hãng, được thiết ́ để giúp các nhà phát triển ngăn chặn các cuộc tấn công nhằm vào các ứng dụng của họ.

Microsoft đã phát hành phiên bản cập nhật cho ̣ công cụ này vào ngày 2/9 nhằm giúp các nhà phát triển tạo ra các ứng dụng của họ an toàn hơn.

Microsoft cho biết với Enhanced Mitigation Experience Toolkit 2, các nhà phát triển thể được đem lại những công nghệ như ngăn chặn thực thi dữ liệu động để thể tăng cường bảo mật, đặc biệt đối với các chương trình hơn không thể biên dịch lại để hoạt động bằng các công nghệ bảo mật.

̣ công cụ được cập nhật này nổi bật với tổng cộng 6 sự giảm thiểu rủi ro, trong đó hai tính năng mới: Export Address Table Access Filtering Mandatory Address Space Layout Randomization.

Vào ngày 5/8 Microsoft đã cho biết tính năng Export Address Table Access Filtering “được thiết ́ nhằm phá vỡ hầu hết mọi shellcode ( khai thác ̃ hổng) hiện đang được sử dụng ngăn chặn việc sử dụng kỹ thuật shellcode ( khai thác ̃ hổng) phổ biếnnhằm vào các thư viện API của Windows. Sự giảm thiểu rủi ro trong tính năng Mandatory Address Space Layout Randomization hoạt động bằng cách “ [buộc] các môđun được nạp vào các địa chỉ sắp xếp ngẫu nhiên trong một tiến trình đích bất ̉ biến nào được biên dịch cùng.”

̣ ứng dụng đòi hỏi một phương pháp bảo mật tốt.

Ngày 2/9 Trung tâm Nghiên cứu Bảo mật Phòng ̣ của Microsoft cho biếtBằng cách triển khai các công nghệ giảm thiểu rủi ro này trên các sản phẩm (́ thừa), công cụ cũng thể giúp khách hàng quản rủi ro trong khi họ đang trong giai đoạn chuyển tiếp qua các sản phẩm hiện đại an toàn hơn”. Ngoài ra, hãng làm cho dễ dàng hơn để khách hàng kiểm tra sự giảm thiểu rủi ro đe doạ cho bất kỳ phần mềm nào cung cấp sự phản hồi ̀ sự trải nghiệm của họ đến nhà cung cấp”.

Các nhà nghiên cứu ̀ bảo mật của Secunia đã cho biết trong một báo cáo vào ngày 1/7 rằng nhiều nhà phát triển ứng dụng không tận dụng sự bảo ̣ của Microsoft để ngăn chặn các cuộc tấn công. Theo báo cáo của Secunia, nhiều nhà phát triển đã triển khai Address Space Layout Randomization không đúng cách trong các chương trình phần mềm của họ. Báo cáo cũng cho thấy các nhà phát triển cũng thực hiện việc triển khai không đầy đủ tính năng bảo ̣ DEP (Data Execution Prevention – Ngăn chặn Thực thi Dữ liệu) của Microsoft .

Ông Mike Gualtieri nhà phân tích nghiên cứu của Forrester cho biết "Tôi hoan nghênh Microsoft về việc họ tiếp tục phát hành các công cụ chẳng như công cụ này”. “Điều đáng tiếc theo tôi nghĩ phần lớn chúng không được ai chú ý đến hầu hết các nhà phát triển nói chuyện với tôi chỉ thừa nhận ngoài miệng ý tưởng ̀ các ứng dụng an toàn hơn”.

Microsoft đã công ́ giới thiệu đoạn video ̀ việc sử dụng công cụ này thể xem tại đây.

 
Đăng bởi: thanhtnguyen
Bình luận
Đăng bình luận
Bình luận
Đăng bình luận
Vui lòng đăng nhập để viết bình luận.