为Win7安全性辩护：至少可增加攻击难度

据国外媒体报道，在前些天的黑客大赛上，Windows 7环境下的IE和火狐浏览器先后被攻破，引发人们对Windows 7操作系统安全性能的怀疑。
对此，微软辩护说，Windows 7的安全防护措施并不能永久阻止所有攻击，但至少可以给黑客带来极大困难。

　　上周在加拿大温哥华举行的2010年Pwn2Own全球黑客大赛上，来自荷兰的研究人员皮特・维莱格登希尔(Peter Vreugdenhil)和一位自称尼尔斯(Nils)的德国研究人员成功绕过Windows 7操作系统的防护措施DEP(数据执行保护)和ASLR(地址空间随机加载)，在Windows 7环境下分别攻破了IE8浏览器和火狐3.6浏览器，并各获得了1万美元的奖金。其中攻破IE8浏览器的维莱格登希尔表示，攻破IE8只需要2分钟时间。

　　对此，微软IE开发团队的产品经理彼得・勒佩奇(Pete LePage)表示，DEP和ASLR安全防护功能仍然可以有效防御黑客攻击。勒佩奇在提到DEP和ASLR以及另外一项IE防护功能“保护模式”(Protected Mode)时表示：“防护措施并不能够永久阻止所有的黑客攻击，但可以给黑客利用漏洞造成极大的困难。”

　　2004年微软推出Windows XP Service Pack 2时推出了DEP功能，旨在阻止恶意代码在不该执行的区域运行，以此来防止缓冲区溢出攻击(buffer overflow attack)。而在三年前随着Windows Vista操作系统面世的ASLR防护功能旨在通过随机加载关键存储区的位置，减少攻击代码利用浏览器编写、修改或删除PC其它位置数据的机率，并且使黑客难以预测他们的攻击代码是否能够运行。