173906

Microsoft hat 1800 Fehler in Office 2010 entdeckt

01.04.2010 | 14:16 Uhr |

Um möglichst viele Fehler schon vor dem Verkaufsstart von Office 2010 zu finden, hat Microsoft auch die Rechenleistung von übers Wochenende nicht benutzten Bürorechnern eingesetzt und viele Bugs gefunden.

In einem Vortrag auf der Sicherheitskonferenz CanSecWest im kanadischen Vancouver, nicht weit von Microsofts Hauptquartier in Redmond, hat Tom Gallagher von Microsoft dargelegt. wie seine Kollegen und er 1800 Fehler in Office 2010 entdeckt haben. Sie haben dazu auch ein Netzwerk von Büro-PCs verwendet, die über das Wochenende nicht benötigt werden.

Die angesagte Methode, um Software-Fehler zu finden - nicht nur potenzielle Sicherheitslücken - ist das so genannte Fuzzing . Dabei wird die Software automatisiert mit Daten traktiert, die im bestimmungsgemäßen Einsatz nicht vorkommen. Das sind etwa Zeichenketten, die viel länger sind als vom Programmierer vorgesehen oder solche, die an dieser Stelle unzulässige Zeichen enthalten. Stürzt das Programm dabei ab, wird das zunächst protokolliert und der Fehler später analysiert.

Während Microsoft wie auch andere früher einzelne Computer im Labor darauf angesetzt hat, werden nach Darstellung von Gallagher nun auch Bürorechner in ihrer Freizeit dazu heran gezogen - SETI@Home lässt grüßen. Gallagher nennt das ein "Fuzzing Botnet" - offiziell heißt es "Distributed Fuzzing Framework (DFF)" und wurde von David Conger, einem Software-Designer in Microsofts Access-Team mit entwickelt.

Tom Gallagher, Testleiter in Microsofts Trustworthy Computing Group, feiert den Einsatz des DFF als großen Fortschritt bei der Fehlersuche. Man können nun einfach übers Wochenende bis zu 12 Millionen Fuzzing-Durchläufe ausführen und müsse am Montag nur noch die Ergebnisse einsammeln.

Microsofts Fehlerdetektive haben dabei etwa 1800 Fehler in Office 2010 entdeckt. Dabei gefundene Bugs, die auch in älteren Office-Versionen vorhanden sind, werden in zukünftigen Service Packs beseitigt, soweit sie nicht Sicherheitslücken darstellen. Letztere sind Gegenstand von Security Bulletins beim monatlichen Patch Day.

0 Kommentare zu diesem Artikel
173906