关于MS08-030这个补丁的八卦

这个漏洞我原本不打算分析，因为在我们的产品里用不上。但是因为我一直在关注无线通信方面的安全问题，所以顺便看了一下，结果发现补丁和原文件没有差别。 因为我们用的是NSFocus BinDiff而不是大家普遍使用的SABRE BinDiff（我们也没有这玩艺），虽然我对NSFocus BinDiff的作者非常信任，但既然是软件，总会有意外，所以我又请 sowhat 帮忙用SABRE BinDiff看看，结果他也没有发现问题，就问了微软SWI小组的同学们，然后就有了后面的事情。 大牛蛙 说这也许是安全八卦史上的经典案例，其实这在微软恐怕不是第一次了。几年前，我们给微软报了一个漏洞，微软按照惯例在发公告前先把补丁发给了给我们。当时还没有BinDiff类的东西，我是用IDA导出ASM，然后用脚本进行处理。结果发现补丁和原文件出来的ASM完全一样。我还唯恐是处理脚本的问题，花了半天的时间直接人肉进行逐字节比对，也没有发现有意义的差异。最重要的是：用原来的EXP仍然能触发。于是我们和微软沟通，说明了这个问题，但是微软方面认为这是不可能的。因为那不是个太严重的漏洞，所以我们也没有太较真。 从这一前一后的故事来看，微软这几年的确对安全越来越重视了，对我们这个社区也越来越友好了。 类似的八卦其实还有很多。譬如当年IE 6出了一个漏洞，后来发补丁补了；但是IE 6 SP1出来的时候把这个漏洞回归了，过了一阵子，在另一个IE集合补丁里才又补上。好在那会儿还没有“挂马”这一说。