Netwerk vindt 1800 fouten in Office 2010

De gebruikte technologie heet ‘fuzzing’ en zoekt naar fouten door applicaties te voeden met data en dan te kijken waar de software op vastloopt. De methode wordt niet alleen door softwareontwikkelaars gebruikt maar ook door beveiligingsexperts, omdat hackers softwarecrashes kunnen misbruiken om malware binnen te smokkelen.

Microsoft noemt zijn netwerk het Distributed Fuzzing Framework (DFF). Het idee om zo’n goedaardig botnet in te zetten bij het testen van nieuwe Microsoft-programmatuur is afkomstig van een medewerker van het team dat de databasetoepassing Access ontwikkelt. Vroeger testte Microsoft nieuwe software op losse pc’s. Het fuzzing-netwerk levert veel sneller resultaat op. Wat vroeger dagen kostte, is nu in een uur gepiept.

Naast het Office-team maken nog enkele andere productgroepen binnen Microsoft, waaronder die van SharePoint en MSN, gebruik van DFF. De ontwikkelaars van Windows gebruiken het netwerk nog nog niet.

Tom Gallagher, securitytester bij de Trustworthy Computing-afdeling van Microsoft, wilde tegen Computerworld niet zeggen welk deel van de ontdekte fouten in Office 2010 met veiligheid verband houdt. Gallagher bevestigde alleen dat met fuzzing inderdaad veiligheidslekken zijn gevonden en dat ze zijn gerepareerd in de bètaversie van Office 2010. Sommige lekken bleken ook in eerdere versies, zoals Office 2003 en 2007, te zitten. Ook deze zijn inmiddels gepatcht, aldus Gallagher.