SKY-net

Исследовательская группа (Security Research Group) компании Fortify Software, разработчика ПО для анализа уязвимостей, открыла новый вид уязвимости, названный cross-build injection («внедрение на этапе сборки»).

Уязвимость была открыта в ходе работы над проектом с открытым кодом Java Open Review (JOR). Атакующий может внедрить код в целевую программу на этапе ее сборки из исходного кода. Компания выпустила техническое описание уязвимости и обновила пакет правил безопасного программирования Fortify Secure Coding Rulepacks. В пакет также включена поддержка стандарта CWE (Common Weakness Enumeration) и поддержка защиты от уязвимостей к LDAP-инъекции, сообщил Darkreading.com.

«Данный новый класс уязвимостей отражает растущее внимание хакеров к процессу разработки программного обеспечения как средства внедрения в корпоративные системы, - сказал основатель и ведущий ученый компании Брайан Чесс (Brian Chess). – Вместо эксплуатации уязвимостей в приложениях, атакующие могут внедрить «черные ходы» на этапе разработки... Сегодня компании наиболее уязвимы к этому типу атак».

Теги: Fortify Software, уязвимость, cross-build injection

www.securitylab.ru

Опубликовано 10.10.2007 14:24 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• HP выпустила сканер уязвимостей в режиме реального времени
• Fortify: Хакеры не считают “облачную” среду безопасной
• SANS представил систему сертификации программистов
• Социальные сети могут стать новым объектом внимания хакеров
• Windows 8 Milestone 2 build 7927 попала в Интернет