La sicurezza di Microsoft Office e Oracle OpenOffice a confronto con le tecniche di fuzzing


[English readers: you can find English links in this post for your convenience]

Vi segnalo due articoli molto interessanti scritti da due fonti autorevoli, Dan Kaminsky e il CERT-CC del Carniege Mellon Institute, che hanno sottoposto diverse versioni delle suite Microsoft Office e Oracle OpenOffice ad analisi di sicurezza di tipo Fuzzing (sono test che provano a far crashare il programma dandogli in ingresso una serie numerosa di dati malformati in modo casuale, per tentare di individuare possibili vulnerabilità):

CERT-CC Blog: A Security Comparison: Microsoft Office vs. Oracle Openoffice

Dan Kaminsky’s Blog: Fuzzmarking: Towards Hard Security Metrics For Software Quality?

Come riporta il titolo, l’idea ambiziosa di Kaminsky è quella di provare a dare una risposta all’annoso problema di individuare una metrica utile ed efficace per misurare in modo quantititativo il livello di sicurezza di una applicazione.

L’analisi del CERT-CC, invece, non solo riporta i risultati di un analogo test di fuzzing, ma confronta anche altri aspetti funzionali che incidono di certo sul livello di sicurezza di queste applicazioni, come le funzionalità di mitigazione del rischio (ASLR, DEP, File Validation) e le modalità di gestione degli aggiornamenti di sicurezza.

Interessante notare che entrambi i test di fuzzing conducono ad una analoga senzazione di maggior robustezza di Microsoft Office rispetto ad Oracle OpenOffice, direi in modo inequivocabile: se poi aggiungiamo gli altri elementi di confronto portati dall’analisi del CERT-CC… Smile

DanKamiskyAnalysis-OfficevsOpenOffice

CERT-CC_officefuzz-expmajor

Feliciano

Other related posts/resources:

Comments (3)

  1. RealENNECI says:

    Wow, nelle vostre analisi non perdete mai contro nessuno eh!

  2. Feliciano Intini says:

    Buona Pasqua anche a te RealENNECI :-)

  3. RealENNECI says:

    Buona Pasqua felicià!!

    Scusa il ritardo!! 😀