JohnnyCage
Hiba a Microsoft új fejlesztőeszközében?
Alig néhány nappal a Microsoft Visual Studio.Net fejlesztőcsomag kiadását követően a biztonsági szakértők egy olyan hibát fedeztek fel a szoftverben, amely a fejlesztőkörnyezetben készült alkalmazások sebezhetőségét okozza.
A hiba a hírek szerint a Visual Studio.Net Visual C++.Net alkalmazásában rejtőzik, így az ezzel készített alkalmazások lehetnek könnyen sebezhetőek. A szerdán kiadott fejlesztői csomag egyébként a Visual C++.Net mellett a Visual Basic, a Java-hoz hasonló C#, valamint több más fejlesztőeszköz legújabb változatát tartalmazza.
A szoftverek biztonságával foglalkozó Cigital vezetői szerint az új C++ fordító egy olyan hibát tartalmaz, amely védtelenné teszi az alkalmazásokat egyes "buffer overflow" típusú támadásokkal szemben. A szakértők szerint a helyzet iróniája az, hogy a biztonsági hiba feltehetően egy másik biztonsági rés kiküszöbölése közben keletkezett. Az új Visual C++-ban kijavított szintén buffer overflow típusú hiba lehetővé tette a hackerek számára, hogy egy speciálisan megformázott paranccsal összeomlasszák a rendszert, illetve rosszindulatú kódot futtassanak le rajta.
"Létezik egy verem (stack) nevű terület a memóriában, amely nyomon követi a függvényhívásokat. A verem különféle típusú adatokat tartalmaz, mint például lokális változók, és mutatók" - írja le Gary McGraw a verem célját. McGraw, a Dulles-i (Vancouver) központú Cigital technikai vezetője elmondta, a buffer overflow (puffer túlcsordulás) lehetőséget ad arra, hogy a hacker átírja a függvény visszatérési címét, ezáltal rosszindulatú kód futtatására irányítsa a számítógépet.
A Microsoft szerint a hiba nem ad okot különösebb aggodalomra. "Egy viszonylag jelentéktelen technikai hiányosságról van szó, amelyet jelenleg vizsgálunk. Egyelőre nem tudunk többet, mivel a problémát még csak tegnap jelentették" - mondta Jim Desler, a Microsoft egyik szóvivője. "A .Net-hez kapcsolódó termékek fejlesztése közben rendkívül komolyan odafigyeltünk a biztonsági problémák kiszűrésére, és a továbbiakban is ezt kívánjuk tenni."
McGraw szerint mivel a fejlesztőrendszer még csak a napokban jelent meg, a felfedezett hiba nem bír komoly jelentőséggel. "Ez egy rendkívül nehezen kihasználható hiba, mindazonáltal egy olyan programról van szó, amellyel más alkalmazások készülnek. Amennyiben a fejlesztők erre a biztonsági megoldásra támaszkodnak, hamis biztonságérzetük támadhat."
A hiba a hírek szerint a Visual Studio.Net Visual C++.Net alkalmazásában rejtőzik, így az ezzel készített alkalmazások lehetnek könnyen sebezhetőek. A szerdán kiadott fejlesztői csomag egyébként a Visual C++.Net mellett a Visual Basic, a Java-hoz hasonló C#, valamint több más fejlesztőeszköz legújabb változatát tartalmazza.
A szoftverek biztonságával foglalkozó Cigital vezetői szerint az új C++ fordító egy olyan hibát tartalmaz, amely védtelenné teszi az alkalmazásokat egyes "buffer overflow" típusú támadásokkal szemben. A szakértők szerint a helyzet iróniája az, hogy a biztonsági hiba feltehetően egy másik biztonsági rés kiküszöbölése közben keletkezett. Az új Visual C++-ban kijavított szintén buffer overflow típusú hiba lehetővé tette a hackerek számára, hogy egy speciálisan megformázott paranccsal összeomlasszák a rendszert, illetve rosszindulatú kódot futtassanak le rajta.
"Létezik egy verem (stack) nevű terület a memóriában, amely nyomon követi a függvényhívásokat. A verem különféle típusú adatokat tartalmaz, mint például lokális változók, és mutatók" - írja le Gary McGraw a verem célját. McGraw, a Dulles-i (Vancouver) központú Cigital technikai vezetője elmondta, a buffer overflow (puffer túlcsordulás) lehetőséget ad arra, hogy a hacker átírja a függvény visszatérési címét, ezáltal rosszindulatú kód futtatására irányítsa a számítógépet.
A Microsoft szerint a hiba nem ad okot különösebb aggodalomra. "Egy viszonylag jelentéktelen technikai hiányosságról van szó, amelyet jelenleg vizsgálunk. Egyelőre nem tudunk többet, mivel a problémát még csak tegnap jelentették" - mondta Jim Desler, a Microsoft egyik szóvivője. "A .Net-hez kapcsolódó termékek fejlesztése közben rendkívül komolyan odafigyeltünk a biztonsági problémák kiszűrésére, és a továbbiakban is ezt kívánjuk tenni."
McGraw szerint mivel a fejlesztőrendszer még csak a napokban jelent meg, a felfedezett hiba nem bír komoly jelentőséggel. "Ez egy rendkívül nehezen kihasználható hiba, mindazonáltal egy olyan programról van szó, amellyel más alkalmazások készülnek. Amennyiben a fejlesztők erre a biztonsági megoldásra támaszkodnak, hamis biztonságérzetük támadhat."