【日经BP社报道】美国微软公司于当地时间2月15日对于指责C++开发环境的新版“Visual C++ .NET(以下简称VC++ .NET)”存在安全方面的脆弱性一事进行了反驳。微软表示：“这是没有根据、而且是不正确的”。微软还就这一问题的“发现者”提出了质疑，认为这一问题的发现者所属Microsoft Risk Management咨询公司“美国Cigital”不具备作为参加Microsoft .NET关联产品安全源代码评价的资格。

　　引发这一事件的是Cigital公司的首席技术官(CTO)Gary McGraw于2月15日在美国的财经刊物《华尔街日报(Wall Street Journal)》上发表的一篇技术性评论文章。该文指出，VC++ .NET存在代码层次上的缺陷，以VC++ .NET开发的源代码会出现产生缓冲器溢出(Buffer Overflow)错误。VC++ .NET包含在美国微软公司刚刚上市的开发环境“Visual Studio .NET”之中。McGraw指出，具有讽刺意味的是，正是这一旨在保护脆弱的源代码免受缓冲器溢出(Buffer Overflow)攻击而嵌入的程序部分本身存在着问题，“(这一缺陷)将使攻击非常容易得手，微软的附加功能给程序设计人员带来的是错误的安全感”。

　　微软对披露此次问题的方式表示怀疑。Cigital公司在“发现”问题之后，通告了作为销售方的微软公司，几乎与此同时便对新闻媒体进行了公开。“一般情况下，资深的安全公司并不是按这种程序公开问题的。Cigital公司虽然被提名参加.NET的安全技术评估，但最终未能入选。此次的报告，纯粹是为了报复而捏造的谎言”。

　　微软的反应可以说是非常迅速。在当天就发表了如下声明：“缓冲器溢出(Buffer Overflow)错误是程序设计人员不小心造成的普通失误，受到批评的功能是针对这一问题设置附加的保护层。微软并未宣称这一功能是防范所有缓冲器溢出(Buffer Overflow)攻击的万能良药。不过，我们经常遇到只是一些常见类型的缓冲器溢出(Buffer Overflow)攻击，这一功能将能够对防止这些主要的缓冲器溢出(Buffer Overflow)攻击助一臂之力。”

　　另外，VC++的项目经理Brandon Bray认为这一事件纯属Cigital公司沽名钓誉的行为，受到批评的VC++ .NET的功能不存在问题。他说，“这一功能如同疏忽时的保险一样。不幸的是那家咨询公司大概将这一功能误解为防止所有的缓冲器溢出(Buffer Overflow)攻击，从而‘发现’了问题”。

   春节不上网？现在预订祝福！短信5折起大奖等着你
      短信点歌，带去你真挚的祝福！ 3500条闪电传情，让她想不看都不行