Microsoft анонсировала новый инструмент для обнаружения ошибок памяти

Компания Microsoft объявила о выходе нового инструмента, способного автоматизировать процесс обнаружения основных причин, связанных с проблемами памяти у приложений.

Новая утилита, названная VulnScan, будет частью облачного сервиса Microsoft Security Risk Detection, который позволит пользователям загружать свои приложения для автоматического тестирования на присутствие различных проблем. Данный сервис до сих пор находится в стадии бета-тестирования.

Большинство утилит и функций платформы Microsoft Security Risk Detection работают по принципу фаззинга, при котором приложению на вход подаётся случайный набор данных и анализируются аномалии выходных данных для определения возможных уязвимостей.

Большинство обнаруживаемых ошибок связано с ошибками памяти. VulnScan обнаруживает их тип и первопричины, чтобы разработчики и инженеры смогли вовремя устранить бреши в системе безопасности исследуемых приложений. Результатом работы сервиса будет отчёт, подобный представленному на сайте разработчиков.

VulnScan

Тесты Microsoft

В Microsoft уверяют, что VulnScan способен обнаруживать ошибки следующих типов: выход за пределы областей чтения и записи, использование переменной после освобождения памяти, использование неинициализированной памяти, путаница типов, разыменование указателей на null и указателей на константу.

VulnScan базируется на двух других инструментах Microsoft — Debugging Tools для Windows (WinDbg) и Time Travel Debugging (TTD). По словам Матеуша Крживицкого из центра Microsoft Security Response (MSRC), компания использует VulnScan в течение последних 10 месяцев для обработки проблем, связанных с памятью и обнаруженных в Microsoft Edge, Microsoft Internet Explorer и Microsoft Office. Примерно в 85% случаев сервис успешно обнаружил проблемы, что позволило сэкономить около 500 часов рабочего времени инженеров MSRC.

VulnScan

Как воспользоваться VulnScan?

Разработчики и организации могут подать заявку на использование бета-версии сервиса и протестировать его бесплатно до официального запуска службы. Стоит отметить, что после запуска она скорее всего обзаведётся платной подпиской.

В то время, как Microsoft за большинство своих продуктов требует оплаты, Google делает многие свои продукты для фаззинга Open Source проектами, включая утилиты Domato и OSS-Fuzz.

Источник: Bleeping Computer