缓解软件漏洞

如何保护自己、企业和客户免受未知或未修补软件漏洞的威胁？ 这个问题可能难以回答，但值得深思。一个特别值得注意的答案是通过漏洞利用缓解技术（如DEP和ASLR）来实现，这些技术旨在使攻击者利用软件漏洞变得困难和昂贵。漏洞利用缓解提供的保护通常独立于单个漏洞，因此为防御当前未知或尚未通过安全更新解决的漏洞利用打开了大门。

微软坚信漏洞利用缓解技术的价值。这一信念通过我们随时间添加到产品中的漏洞利用缓解功能（DEP、ASLR、/GS等）以及微软安全开发生命周期（SDL）中要求产品团队利用这些功能的政策得到了明确体现。尽管许多这些技术已经可用相当长的时间，但我们发现第三方软件供应商的采用速度比我们希望的要慢。我们还从许多企业管理员那里听说，他们难以证明使用漏洞利用缓解的合理性，或者由于性能和兼容性问题而犹豫使用。这是我们希望改变的事情。

为了帮助鼓励企业和第三方软件供应商的采用，我们发布了一篇题为《缓解软件漏洞》的论文。该论文提供了使用漏洞利用缓解技术的理由，并列举了当前可用的技术集合。每种技术的描述包括该技术如何工作的概述，以及需要考虑的性能、兼容性和部署考虑因素（如果有的话）。还列出了每种技术在受支持的操作系统和编译器版本中的可用性。论文最后为软件开发人员、企业管理员以及家庭和企业用户提供了一系列建议行动。特别是，我们建议使用增强缓解体验工具包（EMET）来评估启用某些缓解措施的影响，并保护可能面临风险的系统和应用程序。

我们希望这篇论文能够证明漏洞利用缓解的必要性，并帮助鼓励在Windows生态系统中采用漏洞利用缓解技术。我们鼓励您经常查看http://www.microsoft.com/security/msec.aspx，以获取有关即将推出的安全工具和技术的更多信息。

• Matt Miller, 微软安全工程中心