Łatka ułatwi życie hackerom?

Wypuszczony niedawno przez Microsoft kompilator Visual C++.Net zawierał błędy umożliwiające przepełnienie bufora. Firma z Redmond zareagowała bardzo szybko - wypuszczając odpowiednią łatkę. Wszystko jednak wskazuje na to, że zbytnio się pospieszono. Łatka wprawdzie usuwa wspomniany błąd i nawet nie wprowadza nowych "dziur" (jak to nieraz przy patchach bywa), ale...

Gary McGraw z firmy zajmujacej sie bezpieczeństwem sieci twierdzi, że Microsoft przygotowując łatkę poszedł po najmniejszej linii oporu dopasowując (i zmieniajac w minimalnym stopniu) ogólnie dostępne w postaci "otwartych źródeł" procedury Linuksowe. Można zatem przyjąć, ze "niechcący" pośrednio udostępnił kody źródłowe. Zdaniem McGrawa istnieje niebezpieczeństwo, że wykorzystają to hackerzy. Na podstawie tych kodów nawet średnio zdolny hacker nauczy się pisać procedury przepełniające bufor. W efekcie kompilator staje się jeszcze bardziej bezbronny niż był przed wprowadzeniem tej łatki

Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas