BEDRIFTSTEKNOLOGI

Oppdaget lekkasje gjennom Microsofts sikkerhetspropp

Microsoft brukte et Linux-verktøy for å skjerpe sikkerheten i utviklerverktøyet Visual Studio.Net. Eksperter har påvist at proppen er lekk.

15. feb. 2002 - 13:03
Cigital

Funksjonen selv er ikke nevnt i Cigitals egen omtale av oppdagelsen, men skal, ifølge ZDNet, dreie seg om WireX-produktet StackGuard som distribueres som åpen kildekode. StackGuard er blant hjelpemidlene som WireX stiller til disposisjon for Sardonix Security Portal, en offentlig finansiert amerikansk tjeneste for å gi bedre sikkerhet i programvare distribuert som åpen kildekode.

Svakhetene i StackGuard skal ha blitt beskrevet av hackerorienterte publikasjoner.

Microsoft innlemmet funksjonaliteten fordi den kjøres under kompilering for å avdekke kode som kan være sårbar overfor bufferoversvømming. Den brukes i Visual Studio.Nets håndtering av kode i C++.

Cigital opplyser at sårbarheten i Visual Studio.Net C++ ble oppdaget under uttesting av selskapets sikkerhetsverktøy ITS4. Dette verktøyet analyserer kildekode i C++ og C med tanke på mulige sikkerhetshull. Det kan lastes ned som kildekode fra Cigitals nettsted.

Microsoft mener sårbarheten ikke er alvorlig, og peker blant annet på at programmerere har et selvstendig ansvar for å gardere sin kode mot mulig bufferoversvømming i den ferdige applikasjonen. Den innebygde sjekken er ment som et hjelpemiddel, ikke som garanti, heter det.

Microsoft slår også tilbake mot Cigital, fordi sikkerhetsselskapet sendte ut en pressemelding bare tolv timer etter å ha informert Microsoft om den nyoppdagede sårbarheten. Flere sikkerhetseksperter som uttaler seg til amerikansk presse gir Microsoft medhold på dette punktet.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra