北京时间3月30日消息，据国外媒体报道，在前些天的黑客大赛上，Windows 7环境下的IE和火狐浏览器先后被攻破，引发人们对Windows 7操作系统安全性能的怀疑。对此，微软辩护说，Windows 7的安全防护措施并不能{yj}阻止所有攻击，但至少可以给黑客带来极大困难。

    上周在加拿大温哥华举行的2010年Pwn2Own全球黑客大赛上，来自荷兰的研究人员皮特·维莱格登希尔（Peter Vreugdenhil）和一位自称尼尔斯（Nils）的德国研究人员成功绕过Windows 7操作系统的防护措施DEP（数据执行保护）和ASLR（地址空间随机加载），在Windows 7环境下分别攻破了IE8浏览器和火狐3.6浏览器，并各获得了1万美元的奖金。其中攻破IE8浏览器的维莱格登希尔表示，攻破IE8只需要2分钟时间。

    对此，微软IE开发团队的产品经理彼得·勒佩奇（Pete LePage）表示，DEP和ASLR安全防护功能仍然可以有效防御黑客攻击。勒佩奇在提到DEP和ASLR以及另外一项IE防护功能“保护模式” （Protected Mode）时表示：“防护措施并不能够{yj}阻止所有的黑客攻击，但可以给黑客利用漏洞造成极大的困难。”

    2004年微软推出Windows XP Service Pack 2时推出了DEP功能，旨在阻止恶意代码在不该执行的区域运行，以此来防止缓冲区溢出攻击（buffer overflow attack）。而在三年前随着Windows Vista操作系统面世的ASLR防护功能旨在通过随机加载关键存储区的位置，减少攻击代码利用浏览器编写、修改或删除PC其它位置数据的机率，并且使黑客难以预测他们的攻击代码是否能够运行。

    与保险箱防火功能做类比

    勒佩奇的言论是Pwn2Own黑客大赛结束之后微软首次就DEP和ASLR防护能力做出正式回应。在微软安全博客上，勒佩奇把防火保险箱用来做类比。他表示，Windows系统的安全性能与保险箱防火防热的能力类似。勒佩奇说：“如果没有深度防护，防火保险箱只能起到一到两个小时的防火作用。具备多项深度防护能力的防火保险箱虽然不能保证{yj}防护，但至少可以延长防护的时间。”

    过去，微软曾表示Windows可以有效阻止攻击。例如，去年夏天，微软安全回应中心的工程师罗伯特·亨森（Robert Hensing）表示：“DEP本身并不能起到很大的防护作用。但DEP和ASLR联合起来是很难被绕过去的。”

    而勒佩奇也持类似观点。他说：“DEP和ASLR等深度防护功能仍然是非常有效的防护机制。”

    而攻击IE8的荷兰研究人员维莱格登希尔认为，这些防护措施并不难攻克。在上周黑客大赛获胜后接受采访时，维莱格登希尔说：“想出绕过这些防护措施总共用了我6到7天时间。”不过，根据Pwn2Own大赛的规则，在这些漏洞被修复之前，获胜者不得泄露相关技术信息。

    黑客承认攻击难度增大

    Pwn2Own黑客大赛上在苹果Snow Leopard操作系统环境下成功攻破Safari浏览器的查理·米勒（Charlie Miller）表示，现在的防护措施确实更加出色。他说：“利用漏洞越来越难。过去，我发现20个Bug即可攻破，但在今年，我们必须发现非常特别，非常易于上手的漏洞才能成功。”

    米勒表示，攻击变得更加困难的原因就在于DEP和 ASLR防护技术，Windows和Mac OS X操作系统都使用了这些技术。但他也说，尽管DEP和ASLR是有效的防护措施，但与人们的期望还有差距。

    事实上，本月早些时候，一位谷歌工程师，也是一位前微软安全工程师曾发布了绕过DEP防护的代码。当时，微软拒绝发布安全补丁，