hit counter
La sicurezza di Microsoft Office e Oracle OpenOffice a confronto con le tecniche di fuzzing - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

La sicurezza di Microsoft Office e Oracle OpenOffice a confronto con le tecniche di fuzzing

La sicurezza di Microsoft Office e Oracle OpenOffice a confronto con le tecniche di fuzzing

  • Comments 3
  • Likes

[English readers: you can find English links in this post for your convenience]

Vi segnalo due articoli molto interessanti scritti da due fonti autorevoli, Dan Kaminsky e il CERT-CC del Carniege Mellon Institute, che hanno sottoposto diverse versioni delle suite Microsoft Office e Oracle OpenOffice ad analisi di sicurezza di tipo Fuzzing (sono test che provano a far crashare il programma dandogli in ingresso una serie numerosa di dati malformati in modo casuale, per tentare di individuare possibili vulnerabilità):

CERT-CC Blog: A Security Comparison: Microsoft Office vs. Oracle Openoffice

Dan Kaminsky’s Blog: Fuzzmarking: Towards Hard Security Metrics For Software Quality?

Come riporta il titolo, l’idea ambiziosa di Kaminsky è quella di provare a dare una risposta all’annoso problema di individuare una metrica utile ed efficace per misurare in modo quantititativo il livello di sicurezza di una applicazione.

L’analisi del CERT-CC, invece, non solo riporta i risultati di un analogo test di fuzzing, ma confronta anche altri aspetti funzionali che incidono di certo sul livello di sicurezza di queste applicazioni, come le funzionalità di mitigazione del rischio (ASLR, DEP, File Validation) e le modalità di gestione degli aggiornamenti di sicurezza.

Interessante notare che entrambi i test di fuzzing conducono ad una analoga senzazione di maggior robustezza di Microsoft Office rispetto ad Oracle OpenOffice, direi in modo inequivocabile: se poi aggiungiamo gli altri elementi di confronto portati dall’analisi del CERT-CC… Smile

DanKamiskyAnalysis-OfficevsOpenOffice

CERT-CC_officefuzz-expmajor

Feliciano

Other related posts/resources:

Comments
  • Wow, nelle vostre analisi non perdete mai contro nessuno eh!

  • Buona Pasqua anche a te RealENNECI :-)

  • Buona Pasqua felicià!!

    Scusa il ritardo!! :D

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment