增强缓解评估工具包发布公告
更新:EMET 2.0版本现已发布。
当您阅读本文时,全球各地都有人在寻找软件应用中的漏洞。您的系统和软件可能因此面临风险。如何防护未知漏洞?安全缓解技术是重要选择。
微软提供多种缓解技术来增加漏洞利用难度。我们宣布推出全新工具——增强缓解评估工具包(EMET)1.0.2版本,现可从微软下载中心免费获取。该工具在以下方面实现突破:
- 无需重编译:通过命令行工具即可为应用启用防护,特别适合无法获取源代码的旧版软件。
- 进程级控制:可针对单个进程启用/禁用缓解措施,避免产品套件全局影响。
- 向下兼容:使新版Windows的防护技术能在旧系统上运行。
- 持续更新:将随新技术发展不断更新,让用户提前体验未来防护功能。
支持的缓解技术
当前版本包含四项核心技术:
SEHOP
通过结构化异常处理(SEH)链验证阻断覆盖攻击。如我们此前分析的msvidctl漏洞(详情)将因此失效。
动态DEP
数据执行保护(DEP)通过标记内存页不可执行来防范内存破坏漏洞。工作原理详见技术解析。
NULL页分配
通过预分配内存首页阻断用户态NULL解引用攻击。当前仅防护用户态漏洞。
堆喷射分配
通过预占常见内存地址阻断利用堆喷射技术的攻击。可随攻击模式变化调整配置。
应用兼容性说明
安全缓解可能影响依赖特定行为的应用程序。EMET面向IT专业人员和安全研究人员,建议在生产环境部署前充分测试。
欢迎通过switech@microsoft.com提交反馈。特别感谢Matt Miller的贡献。
—— Fermin J. Serna和Andrew Roths,MSRC工程团队