MS Office 2010: Vývojáři odhalili až 1800 chyb

Na nedostatky v nejnovější verzi kancelářské sady Office přišli její vývojáři díky mnoha uskutečněným „fuzzing“ testům. Podle Toma Gallaghera z iniciativy Trustworthy Computing se jejich počet dokonce pohybuje v řádu miliónů.

Fuzzing je technika hojně využívaná jak softwarovými vývojáři, tak i bezpečnostními pracovníky. Vyhledává chyby vkládáním dat a poté sleduje, kdy program selže. Není proto divu, že tato technika je velmi oblíbená i u kybernetických zločinců, kteří jejím prostřednictvím hledají bezpečnostní skuliny softwaru. Fuzzingu v Microsoftu kromě Office týmu využívají například vývojáři SharePoint či MSN, nicméně u operačních systémů Windows se zapojením do projektu zatím nepočítá.

„V kódu Office 2010 jsme nalezli a následně i opravili asi 1800 chyb. Ačkoliv jde o velké číslo, je nutné si uvědomit, že nejde jen o chyby bezpečnostního charakteru,“ říká Gallagher. Microsoft navíc výsledky fuzzingu Office 2010 porovnal s kódy předchozích verzí, takže některé z těchto zranitelností již byly detekovány ve starších edicích Office.

Microsoft byl schopen přijít na tak velké množství chyb nejen díky přístrojům v jeho laboratořích, ale i začleněním některých méně využívaných počítačů v rámci celé společnosti. Nejde o nic nového. Tento postup se používá například pro hledání mimozemské inteligence či k nalezení největšího prvočísla.

Na každém počítači ve firemní síti Microsoftu je nainstalován software, který jej automaticky zapojení do fuzzingu, když zrovna nevykazuje dostatečné vytížení. Testování proto nejčastější probíhá přes víkend, kdy je většina počítačů nevyužívaných. „Každý víkend bychom chtěli provádět i několik miliónů iterací. V některých případech až 12 miliónů,“ říká Gallagher.