Автоматический анализ рассылаемых разработчиками исправлений программ позволяет в считанные минуты найти уязвимые для взлома места, утверждают исследователи и предлагают для борьбы с этим переработать сами системы рассылки исправлений, в том числе и Windows Update.
Дэвид Брумли и Понгсин Пусанкам (университет Карнеги-Меллон), Даун Сун (Калифорнийский университет в Беркли) и Цзян Чжэн (Питтсбургский университет) изучили разосланные Microsoft исправления для пяти ее программ с применением автоматических средств анализа машинного кода. Оказалось, что таким способом можно создать эксплойт ? программу для атаки на уязвимое место системы ? буквально за несколько минут. Всего за две минуты авторы определили, какое именно уязвимое место было исправлено Microsoft в подсистеме Windows Graphic Device Interface в августе 2007 года (обновление MS07-046), а затем создали и средство для DoS-атаки.
Даже через сутки после начала рассылки обновлений лишь 80% компьютеров с Windows успевают получить их с серверов Microsoft. Аналогичная ситуация и у других компаний ? они стараются снизить нагрузку на серверы. Но уже сейчас эксплойты, созданные в результате анализа раскрытых уязвимостей иногда появляются на следующий день после начала рассылки.
Систему распространения обновлений программ следует изменить, считают исследователи. Можно делать пакеты обновлений так, чтобы маскировать конкретные изменения. Можно распространять обновления в зашифрованном виде, а после того, как оно поступит на все машины, публиковать ключ для расшифровки. Для ускорения распространения обновлений можно использовать и файлообменные сети.