Microsoft hat 1800 Fehler gefunden

In einem Vortrag auf der Sicherheitskonferenz CanSecWest im kanadischen Vancouver hat Tom Gallagher von Microsoft gezeigt. wie seine Kollegen und er 1800 Fehler in Office 2010 entdeckt haben. Sie haben dazu auch ein Netzwerk von Büro-PCs verwendet, die über das Wochenende nicht benötigt werden.

Die angesagte Methode, um Software-Fehler zu finden - nicht nur potenzielle Sicherheitslücken - ist das so genannte Fuzzing. Dabei wird die Software automatisiert mit Daten traktiert, die im bestimmungsgemässen Einsatz nicht vorkommen. Das sind etwa Zeichenketten, die viel länger sind als vom Programmierer vorgesehen oder solche, die an dieser Stelle unzulässige Zeichen enthalten. Stürzt das Programm dabei ab, wird das zunächst protokolliert und der Fehler später analysiert.

Während Microsoft früher einzelne Computer im Labor darauf angesetzt hat, werden nach Darstellung von Gallagher nun auch nicht benutzte Bürorechner dazu herangezogen. Gallagher nennt das ein «Fuzzing Botnet» - offiziell heisst es «Distributed Fuzzing Framework (DFF)» und wurde von David Conger, einem Software-Designer in Microsofts Access-Team mit entwickelt.

Tom Gallagher, Testleiter in Microsofts Trustworthy Computing Group, feiert den Einsatz des DFF als grossen Fortschritt bei der Fehlersuche. Man können nun einfach übers Wochenende bis zu 12 Millionen Fuzzing-Durchläufe ausführen und müsse am Montag nur noch die Ergebnisse einsammeln.

Microsofts Fehlerdetektive haben dabei etwa 1800 Fehler in Office 2010 entdeckt. Dabei gefundene Bugs, die auch in älteren Office-Versionen vorhanden sind, werden in künftigen Service Packs beseitigt, soweit sie nicht Sicherheitslücken darstellen. Letztere sind Gegenstand von Security Bulletins beim monatlichen Patch Day.