Noll
Även program som har skapats med en säker utveckling förfaranden kan fortfarande vara sårbara för angrepp, på grund av brister i tolkat programspråk de beror på.
IOActive forskare Fernando Arnaboldi avslöjade i förra veckan Black Hat Europe konferens som allvarliga brister i tolkar för fem populära programmeringsspråk sätta applikationer tolkas som en risk för dem.
Arnaboldi finns, till exempel, att Python har “papperslösa metoder och lokala miljövariabler som kan användas för OS kommando”.
NodeJS, ett JavaScript-tolken, under tiden kan läcka innehållet i filen genom felmeddelanden utgångar, medan JRuby, Java genomförandet av Ruby”, laster och utför fjärrkörning av kod om en funktion inte är konstruerade för remote code execution”.
För Perl, Arnaboldi nämner möjligheten av dess typemaps funktion, som ingår i dess standard uppsättning av moduler, för att exekvera kod. Även i PHP, vissa inbyggda funktioner kan föras en ständig namn för att utföra en fjärrkontrollens kommandon.
Han anser att dessa sårbarheter kan ha orsakats av försök att förenkla utveckling av programvara.
Språket sårbarheter som misstänks ha orsakats av försök att förenkla utveckling av programvara.
Bild: Getty Images/iStockphoto
“De sårbarheter som i slutändan påverkar vanliga program tolkas av de drabbade tolkar, men det fixar bör tillämpas på tolkar,” konstaterade han.
“När det gäller tolkat programspråk sårbarheter, programutvecklare kan omedvetet inkludera kod i ett program som kan användas på ett sätt som designern inte förutsåg. Vissa av dessa beteenden kan utgöra en säkerhetsrisk för applikationer som var säkert utvecklats enligt riktlinjer,” skrev Arnaboldi.
Forskare har upptäckt brister med den XDiFF, en “differentierad fuzzer” han skapade och riktar på flera tolkar för olika språk.
För JavaScript, mål som ingår i Google ‘ s v8 JavaScript motorn, och Microsofts ChakraCore motsvarande, Mozilla SpiderMonkey, och NodeJS, och Nod-ChakraCore.
I PHP, han fuzzad PHP och HHVM, medan Ruby målen Ruby och JRuby. Han har också fuzzad Perl, ActivePerl, CPython, PyPy, och Jython.
Som han tidigare påpekat, den forskning visar att program kan drabbas av säkerhetsfrågor vid användning av vissa funktioner från programmeringsspråk.
“Det finns ett antal möjligheter att missbrukas i olika utföranden som kan påverka säkra applikationer. Det finns oväntade scenarion för tolkat programspråk analysera kod i JavaScript, Perl, PHP, Python och Ruby,” Arnaboldi skrev.
Tidigare och relaterade täckning
Mest avskydda programmeringsspråk? Här är hur utvecklarna avge sina röster
Utvecklare på Stack Overflow verkligen inte vill arbeta i Perl och gillar inte Microsoft så mycket heller.
Vilket programmeringsspråk du tjänar mest pengar? Använd det här verktyget till att kontrollera
Ta reda på hur mycket dina kunskaper är värt i Nordamerika och Europa.
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0