在早些时候的黑客大赛上，Windows 7环境下的IE和火狐浏览器先后被攻破，引发人们对Windows 7操作系统安全性能的怀疑。对此，微软辩护说，Windows 7的安全防护措施并不能永久阻止所有攻击，但至少可以给黑客带来极大困难。

　　早前在加拿大温哥华举行的2010年Pwn2Own全球黑客大赛上，来自荷兰的研究人员皮特维莱格登希尔（Peter Vreugdenhil）和一位自称尼尔斯（Nils）的德国研究人员成功绕过Windows 7操作系统的防护措施DEP（数据执行保护）和ASLR（地址空间随机加载），在Windows 7环境下分别攻破了IE8浏览器和火狐3.6浏览器，并各获得了1万美元的奖金。其中攻破IE8浏览器的维莱格登希尔表示，攻破IE8只需要2分钟时间。

　　对此，微软IE开发团队的产品经理彼得勒佩奇（Pete LePage）表示，DEP和ASLR安全防护功能仍然可以有效防御黑客攻击。勒佩奇在提到DEP和ASLR以及另外一项IE防护功能“保护模式”（Protected Mode）时表示：“防护措施并不能够永久阻止所有的黑客攻击，但可以给黑客利用漏洞造成极大的困难。”

　　2004年微软推出Windows XP Service Pack 2时推出了DEP功能，旨在阻止恶意代码在不该执行的区域运行，以此来防止缓冲区溢出攻击（buffer overflow attack）。而在三年前随着Windows Vista操作系统面世的ASLR防护功能旨在通过随机加载关键存储区的位置，减少攻击代码利用浏览器编写、修改或删除PC其它位置数据的机率，并且使黑客难以预测他们的攻击代码是否能够运行。

　　与保险箱防火功能做类比

　　勒佩奇的言论是Pwn2Own黑客大赛结束之后微软首次就DEP和ASLR防护能力做出正式回应。在微软安全博客上，勒佩奇把防火保险箱用来做类比。他表示，Windows系统的安全性能与保险箱防火防热的能力类似。勒佩奇说：“如果没有深度防护，防火保险箱只能起到一到两个小时的防火作用。具备多项深度防护能力的防火保险箱虽然不能保证永久防护，但至少可以延长防护的时间。”

　　过去，微软曾表示Windows可以有效阻止攻击。例如，去年夏天，微软安全回应中心的工程师罗伯特亨森（Robert Hensing）表示：“DEP本身并不能起到很大的防护作用。但DEP和ASLR联合起来是很难被绕过去的。”

　　而勒佩奇也持类似观点。他说：“DEP和ASLR等深度防护功能仍然是非常有效的防护机制。”

　　而攻击IE8的荷兰研究人员维莱格登希尔认为，这些防护措施并不难攻克。在上周黑客大赛获胜后接受采访时，维莱格登希尔说：“想出绕过这些防护措施总共用了我6到7天时间。”不过，根据Pwn2Own大赛的规则，在这些漏洞被修复之前，获胜者不得泄露相关技术信息。

　　黑客承认攻击难度增大

　　Pwn2Own黑客大赛上在苹果Snow Leopard操作系统环境下成功攻破Safari浏览器的查理米勒（Charlie Miller）表示，现在的防护措施确实更加出色。他说：“利用漏洞越来越难。过去，我发现20个Bug即可攻破，但在今年，我们必须发现非常特别，非常易于上手的漏洞才能成功。”

　　米勒表示，攻击变得更加困难的原因就在于DEP和ASLR防护技术，Windows和Mac OS X操作系统都使用了这些技术。但他也说，尽管DEP和ASLR是有效的防护措施，但与人们的期望还有差距。

　　事实上，本月早些时候，一位谷歌工程师，也是一位前微软安全工程师曾发布了绕过DEP防护的代码。当时，微软拒绝发布安全补丁，称仅仅绕过DEP并不能攻击电脑。

　　其他研究人员认为，这份代码的发布将导致针对DEP的攻击日益增多。趋势科技的高级安全研究员大卫桑卓（David Sancho）表示：“这些代码可以用于进一步利用漏洞，我预计很快就会出现这种攻击。”

　　查理米勒表示：“尽管安全防护能力有所提升，但研究人员仍然会不断发现漏洞。虽然我们所处的安全环境有所改进，但用户永远无法确保自己的电脑不会受到攻击。”