Microsoft анонсировала новый инструмент для обнаружения ошибок памяти

Новая утилита, названная VulnScan, будет частью облачного сервиса Microsoft Security Risk Detection, который позволит пользователям загружать свои приложения для автоматического тестирования на присутствие различных проблем. Данный сервис до сих пор находится в стадии бета-тестирования.

Большинство утилит и функций платформы Microsoft Security Risk Detection работают по принципу фаззинга, при котором приложению на вход подаётся случайный набор данных и анализируются аномалии выходных данных для определения возможных уязвимостей.

Большинство обнаруживаемых ошибок связано с ошибками памяти. VulnScan обнаруживает их тип и первопричины, чтобы разработчики и инженеры смогли вовремя устранить бреши в системе безопасности исследуемых приложений. Результатом работы сервиса будет отчёт, подобный представленному на сайте разработчиков.

Тесты Microsoft

В Microsoft уверяют, что VulnScan способен обнаруживать ошибки следующих типов: выход за пределы областей чтения и записи, использование переменной после освобождения памяти, использование неинициализированной памяти, путаница типов, разыменование указателей на null и указателей на константу.

VulnScan базируется на двух других инструментах Microsoft — Debugging Tools для Windows (WinDbg) и Time Travel Debugging (TTD). По словам Матеуша Крживицкого из центра Microsoft Security Response (MSRC), компания использует VulnScan в течение последних 10 месяцев для обработки проблем, связанных с памятью и обнаруженных в Microsoft Edge, Microsoft Internet Explorer и Microsoft Office. Примерно в 85% случаев сервис успешно обнаружил проблемы, что позволило сэкономить около 500 часов рабочего времени инженеров MSRC.

Как воспользоваться VulnScan?

Разработчики и организации могут подать заявку на использование бета-версии сервиса и протестировать его бесплатно до официального запуска службы. Стоит отметить, что после запуска она скорее всего обзаведётся платной подпиской.

В то время, как Microsoft за большинство своих продуктов требует оплаты, Google делает многие свои продукты для фаззинга Open Source проектами, включая утилиты Domato и OSS-Fuzz.