TOCTOU是指計算機系統的資料與許可權等狀態的檢查與使用之間,因為某特定狀態在這段時間已改變所產生的軟體漏洞。
TOCTOU是競爭危害 (race hazard) 又名競態條件 (race condition)的一種。
微軟安全部門主管Michael Howard稱,最近新出的IE Bug漏洞屬於一個和記憶體有關的“TOCTOU”bug。微軟解釋為何漏掉關鍵的IE Bug:Howard表示,只由重新檢查程式代碼,很難找出TOCTOU的漏洞。他還稱,該bug未被程式設計師發現是因為他們沒有被告知或教育明白這類問題,或者沒有開發使用正確的測試工具。他們使用的“fuzzers”測試工具漏掉了這個關鍵的Bug。微軟將升級他們的測試工具,同時加強開發者在"TOCTOU" bug方面的培訓。
