【IT专家网独家】检查了上个月发现的Windows动画光标(.ani)安全漏洞之后，微软一位安全开发权威近日披露了这个软件瑕疵是如何悄悄地进入Vista操作系统的。

　　微软安全开发生命周期(SDL)部门的一位权威Michael Howard在最新发表的SDL博客中简要介绍了从ANI安全漏洞中吸取的教训。Howard在4月26日承认，SDL是不完美的，而且它永远也不会完美无瑕。我们仍有工作要做。这个软件瑕疵就说明了这个问题。

　　这个软件瑕疵是在上个月首次发现的并且产生了足够大的安全威胁，迫使微软在补丁周期之外修复这个安全漏洞。这个安全漏洞影响到了各种版本的Windows操作系统，甚至影响到了人们认为更安全的Vista操作系统。事实上，一些安全研究人员批评微软及其SDL没有在Vista编写、调试、测试和改进的过程中捕捉到这些有漏洞的代码。

　　有些研究人员立即考虑到由微软进行不同寻常的道歉。Qualys的技术账户团队的经理Jonathan Bitle说，这个事情确实是不合适的。微软历史上一直密切关注安全问题的。

　　赛门铁克安全反应小组的经理Oliver Friedrichs对微软的动机提出了严厉的质疑。他说，微软应该更透明地解释一下为什么会漏掉这个安全漏洞。

　　微软的Howard特别指出了Vista安全组件中暴露的ANI安全漏洞以及在微软的开发工具和流程中的一些漏洞。

　　“/GS”开关是微软Visual Studio的编辑器中的一项功能。根据设计，它是用来保护堆栈变量不发生溢出故障，导致执行任意代码的。这个开关就存在漏洞。一些第三方研究人员，特别是赛门铁克的Ollie Whitehouse，曾批评微软没有使用“/GS”编辑Vista全部的二进制代码。然而，在ANI案例中，那不是这个问题。

　　Howard说，因为在这个功能的堆栈上没有候选的缓冲区，没有向这个堆栈增加/GS cookie，尽管这个代码是使用/GS编辑的。这不是我们第一次看到没有cookie的代码。这使我们重新想起当它确定是否在这个堆栈中放置一个cookie的时候这个编辑器使用的启发式方式。

　　地址空间布局随机化(ASLR)是Vista的另一个安全功能。这项功能随机向内存分配数据，让攻击者很难确定重要的操作系统功能的位置。这项功能也没有对ANI安全漏洞产生预期的影响。Howard说，如果这个安全漏洞代码隐藏在捕捉许多错误(如动画光标代码中错误)的异常处理程序(exception handler)中，失败的企图不会造成组件崩溃，攻击者可以使用不同的地址再次进行试验。微软的与Howard一起撰写《编写Vista安全代码》一书的共同作者David LeBlanc在4月3日的博客中谈到了使用异常处理程序的危险性。微软正是在这一天修复了ANI漏洞。

　　LeBlanc当时警告说，我曾经说过多次，不正确使用异常处理程序将使你遭到黑客攻击。