BinScope und MiniFuzz
Microsoft: Zwei neue kostenlose Security-Tools
Mit Secure Development Lifecycle versucht Microsoft seit 2004, die Anzahl von Bugs in der Software zu reduzieren. Dazu hat man intern einen Prozess zur Softwareentwicklung aufgesetzt, der in sieben Stufen den kompletten Entstehungs- und Lebenszyklus eines Softwareprodukts umfasst. Erfolgreiche Strategien werden von Microsoft veröffentlicht und wenn möglich in die Entwicklungsumgebung Visual Studio integriert.
Während es für die SDL-Prozessstufen Design und Implementation etliche Tools gibt, hatte Microsoft für die Verifikation eines fertigen Produkts wenig zu bieten. Das soll sich nun mit den beiden kostenlosen Tools BinScope und MiniFuzz ändern.
- Binscope Standalone
Mit BinScope lassen sich Programme und DLLs auf Sicherheitslücken prüfen. - Informativ
Schon beim Öffnen zeigt BinScope erste Daten an. - BinScope im Visual Studio
BinScope lässt sich auch direkt in die Entwicklungsumgebung einbinden. - MiniFuzz
MiniFuzz erzeugt "defekte" Eingabedateien und testet die Reaktion des Programms darauf. - Kein Windows XP
Unter Windows XP stützt MiniFuzz unkontrolliert ab. - SDL
SDL sorgt in jedem Entwicklungsschritt für sichere Software. - VS-Template
Das SDL Process Template lässt sich auch in bestehende Prozesse manuell in Visual Studio einbinden. - Testlauf mit BinScope
Schon währed des Laufs zeigen sich erste Ergebnisse - Excel 2003
Ältere Programme nutzen nicht alle aktuellen Sicherheitsmerkmale. - Internet Explorer 8
Der IE8 wurde nicht als NX-kompatiben compiliert.
Der Microsoft BinScope Binary Analyzer überprüft Binärdateien wie DDLs oder Exe-Dateien auf Sicherheitsrisiken. Dabei legt BinScope zunächst Wert auf sichere Compileroptionen bei der Erzeugung des Binärcodes. Beispielsweise gibt es mit dem /GS-Flag eine Option, die Buffer Overflows zur Laufzeit erkennt und damit einen der häufigsten Angriffsvektoren eliminiert. Auch die Data Execution Prevention und das Safe Exception Handling müssen laut SDL-Richtlinen aktiviert sein.
