Відкрито новий тип уразливостей

19:23 25.11.2007

Дослідницька група (Security Research Group) компанії Fortify Software, відкрила новий вид уразливості, названий cross-build injection (впровадження на етапі зборки).

Уразливість була відкрита в ході роботи над проектом з відкритим кодом Java Open Review (JOR). Нападник може впровадити код у цільову програму на етапі її зборки з вихідного коду. Компанія випустила технічний опис уразливості й обновила пакет правил безпечного програмування Fortify Secure Coding Rulepacks. У пакет також включена підтримка стандарту CWE (Common Weakness Enumeration) і підтримка захисту від уразливостей до LDAP-ін’єкції.

“Даний новий клас уразливостей відображує зростаючу увагу хакерів до процесу розробки програмного забезпечення як засобу впровадження в корпоративні системи, - сказав засновник і ведучий учений компанії Брайан Чесс. - Замість експлуатації уразливостей у додатках, нападники можуть впровадити “чорні ходи” на етапі розробки. Сьогодні компанії найбільш уразливі до цього типу атак”.

По матеріалам http://www.secblog.info.

P.S.

Даний різновид атак відомий вже деякий час (один з перших зафіксованих випадків cross-build injection відбувся в 2002 році). Тому нового типу уразливостей тут немає (дане формулювання використовуєтся лише для піару), дослідники з Fortify Software лише звернули нашу увагу на дану проблему. І даний тип уразливостей доволі цікавий і актуальний в наш час.


Leave a Reply

You must be logged in to post a comment.