Nul
Zelfs software die gebouwd is met veilige ontwikkeling en procedures kunnen nog steeds kwetsbaar zijn voor een aanval, door fouten in de geïnterpreteerde programmeertalen ze afhankelijk zijn.
IOActive onderzoeker Fernando Arnaboldi geopenbaard in de laatste week van de Black Hat Europe conferentie die ernstige gebreken in het tolken voor vijf populaire programmeertalen applicaties geanalyseerd door hen in gevaar.
Arnaboldi gevonden, bijvoorbeeld, dat de Python heeft “zonder papieren methoden en lokale milieu-variabelen die gebruikt kunnen worden voor de OS de uitvoering van de opdracht”.
NodeJS, een JavaScript interpreter, ondertussen kon het lek de inhoud van een bestand door middel van foutmeldingen het uitgangen, terwijl JRuby, de Java implementatie van Ruby, “laadt en uitvoering van externe code op een functie is niet bedoeld voor uitvoering van externe code”.
Voor Perl, Arnaboldi citeert het vermogen van de typeafbeeldingen functie, opgenomen in de standaard set van modules, om code uit te voeren. Terwijl in PHP, bepaalde inheemse functies kunnen worden doorgegeven op een constante naam voor het uitvoeren van een externe uitvoering van de opdracht.
Hij gelooft dat deze kwetsbaarheden kan zijn veroorzaakt door pogingen tot vereenvoudiging van software ontwikkeling.
De taal kwetsbaarheden worden verdacht van het hebben van zijn veroorzaakt door pogingen tot vereenvoudiging van software ontwikkeling.
Beeld: Getty Images/iStockphoto
“De kwetsbaarheden uiteindelijk impact reguliere toepassingen geanalyseerd door de betrokken tolken; echter, de oplossingen moeten worden toegepast om de tolken,” merkte hij op.
“Met betrekking tot de geïnterpreteerde programmeertalen kwetsbaarheden in software-ontwikkelaars kunnen onbewust zijn code in een toepassing die kan worden gebruikt op een manier die de ontwerper niet voorzien. Sommige van deze gedragingen vormen een beveiligingsrisico voor toepassingen die zijn goed ontwikkeld volgens de richtlijnen,” schreef Arnaboldi.
De onderzoeker ontdekte dat de gebreken het gebruik van de XDiFF, een ‘differentieel fuzzer’ hij gemaakt en gericht op de verschillende tolken voor verschillende talen.
Voor JavaScript, doelstellingen opgenomen Google ‘s v8 JavaScript-engine en Microsoft’ s ChakraCore gelijk, Mozilla ‘ s SpiderMonkey, en NodeJS en de Node-ChakraCore.
In PHP, hij fuzzed PHP en HHVM, terwijl voor Ruby van de doelstellingen opgenomen Ruby en JRuby. Hij heeft ook fuzzed Perl, ActivePerl, Vancpython, PyPy, en Libreoffice.
Als hij eerder op gewezen dat het onderzoek toont aan dat toepassingen kunnen last hebben van problemen met de beveiliging bij het gebruik van bepaalde functies van programmeertalen.
“Er zijn een aantal mogelijkheden om te worden misbruikt in de verschillende implementaties die een invloed kunnen hebben op beveiligde toepassingen. Er zijn onverwachte scenario ‘ s voor de geïnterpreteerde programmeertalen parseren van de code in JavaScript, Perl, PHP, Python en Ruby,” Arnaboldi schreef.
Vorige en aanverwante dekking
Meest verafschuwd programmeertaal? Hier is hoe de ontwikkelaars stemmen
Ontwikkelaars op Stack Overflow echt niet wilt werken in Perl en niet, zoals Microsoft zoveel.
Welke programmeertalen verdien je het meeste geld? Deze rekenmachine gebruiken om te controleren
Het vinden van hoe veel je vaardigheden zijn de moeite waard in Noord-Amerika en Europa.
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters
0