Вячеслав Ансимов

В четверг, буквально на следующий день после помпезного представления Биллом Гейтсом главных средств разработки веб-приложений на платформе .NET независимые эксперты обнаружили в них серьезную дыру.

Это старая добрая уязвимость переполнения буфера, неразлучная с продуктами Microsoft. На этот раз она обнаружена в компиляторе Visual C++.NET, который входит в состав представленного в среду инструментария веб-разработчиков Visual Studio .NET.

Интересно, что переполнению буфера оказался подвержен специальный встроенный в компилятор механизм безопасности, защищающий программы именно от этой уязвимости. Механизм автоматически проверяет исходные коды, обеспечивая защиту от атак, использующих переполнение буфера. Данная уязвимость переходит на все программы, создаваемые с помощью компилятора. Дырявый защитный механизм вместо латания дыр расставляет их.

Дыру в только что выпущенном в продажу продукте обнаружили специалисты консалтинговой компании Cigital, специализирующейся на оценках безопасности программного обеспечения. По их мнению, баг опасен тем, что создает у разработчиков ложное ощущение защищенности. Между тем, любые производимые ими приложения будут уязвимы для хакеров.

Microsoft пока никак не отреагировала на обнаружение трещины в “краеугольных камнях платформы .NET”.

ССЫЛКИ ПО ТЕМЕ

Cigital Warns of Security Flaw in Microsoft .NET Compiler – Cigital, 14.02.02

Expert: Microsoft Web Toolkit Has Security Loophole – Reuters, 15.02.02

МАТЕРИАЛЫ ПО ТЕМЕ

Гейтс выпустил главное оружие для захвата е-бизнеса – 14.02.02


Вируса для .NET еще нет – 14.01.02


NET-стратегия Microsoft: сделать хотел грозу, а получил… – 20.03.01