Microsoft udostępnia otwarty wykrywacz dziur

Podczas konferencji CanSecWest w Vancouver Microsoft udostępnił na zasadach Open Source narzędzieułatwiające wykrywanie luk w oprogramowaniu. Program nosi nazwę !exploitable Crash Analyzer i jest dodatkiem doWindbg. Nazwa bierze się od poleceń Windbg,które zaczynają się od wykrzyknika. Ma ułatwić programistomwyszukiwaniu dziur w pisanych przez nich programach zanim zostanąone wypuszczone. Tworzy automatyczne analizy podatności nawystąpienie błędu oraz szacuje ryzyko dla bezpieczeństwa. Dlaposzczególnych błędów tworzone są hashe i określany jest poziommożliwości stworzenia exploita: Exploitable, Probably Exploitable,Probably Not Exploitable, Unknown. Szacowanie ryzyka "exploitowalności" danego błędu jest bardzoważne. Zazwyczaj w oprogramowaniu jest sporo błędów ale tylko małaczęść z nich stanowi zagrożenie dla bezpieczeństwa. Nie ma więcsensu analizować każdego potencjalnego błędu gdyż znacznieopóźniłoby to datę wypuszczenia aplikacji na rynek. Z drugiejstrony przeoczenie groźnej luki może mieć poważne konsekwencje inarazić producenta na straty. Z tego też powodu narzędzia takiejjak udostępnione przez Microsoft są bardzo pomocne w procesietworzenia oprogramowania.