JohnnyCage

Hiba a Microsoft új fejlesztőeszközében?

Alig néhány nappal a Microsoft Visual Studio.Net fejlesztőcsomag kiadását követően a biztonsági szakértők egy olyan hibát fedeztek fel a szoftverben, amely a fejlesztőkörnyezetben készült alkalmazások sebezhetőségét okozza.

A hiba a hírek szerint a Visual Studio.Net Visual C++.Net alkalmazásában rejtőzik, így az ezzel készített alkalmazások lehetnek könnyen sebezhetőek. A szerdán kiadott fejlesztői csomag egyébként a Visual C++.Net mellett a Visual Basic, a Java-hoz hasonló C#, valamint több más fejlesztőeszköz legújabb változatát tartalmazza.

A szoftverek biztonságával foglalkozó Cigital vezetői szerint az új C++ fordító egy olyan hibát tartalmaz, amely védtelenné teszi az alkalmazásokat egyes "buffer overflow" típusú támadásokkal szemben. A szakértők szerint a helyzet iróniája az, hogy a biztonsági hiba feltehetően egy másik biztonsági rés kiküszöbölése közben keletkezett. Az új Visual C++-ban kijavított szintén buffer overflow típusú hiba lehetővé tette a hackerek számára, hogy egy speciálisan megformázott paranccsal összeomlasszák a rendszert, illetve rosszindulatú kódot futtassanak le rajta.

"Létezik egy verem (stack) nevű terület a memóriában, amely nyomon követi a függvényhívásokat. A verem különféle típusú adatokat tartalmaz, mint például lokális változók, és mutatók" - írja le Gary McGraw a verem célját. McGraw, a Dulles-i (Vancouver) központú Cigital technikai vezetője elmondta, a buffer overflow (puffer túlcsordulás) lehetőséget ad arra, hogy a hacker átírja a függvény visszatérési címét, ezáltal rosszindulatú kód futtatására irányítsa a számítógépet.

A Microsoft szerint a hiba nem ad okot különösebb aggodalomra. "Egy viszonylag jelentéktelen technikai hiányosságról van szó, amelyet jelenleg vizsgálunk. Egyelőre nem tudunk többet, mivel a problémát még csak tegnap jelentették" - mondta Jim Desler, a Microsoft egyik szóvivője. "A .Net-hez kapcsolódó termékek fejlesztése közben rendkívül komolyan odafigyeltünk a biztonsági problémák kiszűrésére, és a továbbiakban is ezt kívánjuk tenni."

McGraw szerint mivel a fejlesztőrendszer még csak a napokban jelent meg, a felfedezett hiba nem bír komoly jelentőséggel. "Ez egy rendkívül nehezen kihasználható hiba, mindazonáltal egy olyan programról van szó, amellyel más alkalmazások készülnek. Amennyiben a fejlesztők erre a biztonsági megoldásra támaszkodnak, hamis biztonságérzetük támadhat."

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Pheel #10
    Valamit iszonyatosan elbénáztok. Nekem gyakorlatilag problémamentes az XP-m. Ami van, az is tudom miért van és tudom, hogy lesz hozzá javítás.

    Egy stabil hardveren szerintem az XP átlagos használat mellett (office, játék, VS, net, stb) ha két hetente egyszer ha megfexik. A linux is produkál ennyit, ha használod is.
  • galocza #8
    senki sem hiszi, hogy a többi szoftver hibátlan. ezt az okos következtetést honnan vontad le? a sorok között próbáltál olvasni? gyakorolj még 1 kicsit...
    az meg nem véletlen, hogy az öcsém hetente telepít oprendszert és tépi ki az összes haját, mert a hiperszuper xp és 2000 is folyamatosan problémázik nála. az én 98am is ezt csinálja, de az olyan is...
  • galocza #1
    kár volt meghirdetni azt a biztonságos-m$-szoftvert-a-népnek kampányt. eddig mindenki tudta, mire számítson ha m$ terméket használ. most viszont a fél világ rajtuk röhög minden egyes biztonsági rés nyilvánossá válásakor...