Nul
Selv software, som er blevet bygget med en sikker udvikling af procedurer, der kan stadig være sårbar over for angreb, på grund af fejl i fortolket programmeringssprog de er afhængige af.
IOActive forsker Fernando Arnaboldi afsløret i sidste uge af Black Hat Europa konference, der alvorlige fejl i tolke for fem populære programmeringssprog sætte applikationer analyseres af dem i fare.
Arnaboldi fandt, for eksempel, at Python har “udokumenterede metoder og lokale miljø-variabler, der kan anvendes til OS command execution”.
NodeJS, en JavaScript-fortolkeren, i mellemtiden kan lække fil indhold gennem fejlmeddelelser det output, mens JRuby, Java, Ruby, “indlæser og udfører fjern-kode på en funktion, som ikke er konstrueret til fjernkørsel af programkode”.
For Perl, Arnaboldi cites evne til sit typemaps funktion, der er inkluderet i standard-sæt af moduler, til at udføre kode. Mens der i PHP, visse indfødte funktioner, der kan være gået en konstant ‘ s navn for at udføre en ekstern kommando udførelse.
Han mener, at disse sårbarheder kan have været forårsaget af forsøg på at forenkle udvikling af software.
Sproget sårbarheder er mistænkt for at have været forårsaget af forsøg på at forenkle udvikling af software.
Billede: Getty Images/iStockphoto
“Sårbarheder i sidste ende påvirke almindelige ansøgninger skal løses af de berørte tolke, men den løser bør anvendes til de tolke,” bemærkede han.
“Med hensyn til den fortolket programmeringssprog sårbarheder, software-udviklere kan ubevidst omfatter kode i et program, som kan bruges på en sådan måde, at designeren ikke havde forudset. Nogle af disse former for adfærd kan udgøre en sikkerhedsrisiko for programmer, der er sikkert, der er udviklet efter retningslinjer,” skrev Arnaboldi.
Forskeren opdagede, at de mangler hjælp XDiFF, en ‘differentieret fuzzer’ han skabte og målrettet på flere fortolkere for forskellige sprog.
For JavaScript, mål Google ‘s v8 JavaScript-engine, og Microsoft’ s ChakraCore tilsvarende, Mozilla ‘ s SpiderMonkey, og NodeJS, og Node-ChakraCore.
I PHP, han fuzzed PHP og HHVM, mens det for Ruby de mål, der er medtaget Ruby og JRuby. Han har også fuzzed Perl, ActivePerl, CPython, PyPy, og Jython.
Som han tidligere har påpeget, forskning viser, at ansøgninger kan lide af sikkerhed, når du bruger visse funktioner fra programmeringssprog.
“Der er en række muligheder for at blive misbrugt i forskellige implementeringer, der kan påvirke sikre programmer. Der er uventede scenarier for den fortolket programmeringssprog parsing kode i JavaScript, Perl, PHP, Python og Ruby,” Arnaboldi skrev.
Tidligere og relaterede dækning
Mest afskyede programmeringssprog? Her er hvordan udviklere afgive deres stemmer
Udviklere på Stack Overflow virkelig ikke lyst til at arbejde i Perl og ikke kan lide Microsoft meget.
Hvilke programmeringssprog tjener du flest penge? Brug denne beregner til at kontrollere,
Find ud af, hvor langt dine kompetencer er værd i Nordamerika og Europa.
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre
0