Sikkerhetsselskap steinet Microsoft fra glasshus

Cigital mener sikkerheten i Microsofts nye C++-kompilator ikke holder mål. Microsoft har svart ved å påvise tilsvarende feil i Cigitals eget spesialverktøy.

Cigital slo til i forrige uke med en oppsiktsvekkende påvisning av at en sjekk mot oversvømte buffere som var lagt inn i C++-kompilatoren i Microsofts utviklingsmiljø Visual Studio.Net, ikke virket i alle tilfeller. Cigital mente dessuten at Microsoft hadde hentet koden til denne sjekken fra StackGuard, et verktøy distribuert som åpen kildekode.

Microsoft har reagert usedvanlig krast på dette. En melding på selskapets nettsted avviser Cigitals påstander som unøyaktige og peker på at selskapet advarer utviklere mot å stole hundre prosent på sikkerhetssjekken. Microsoft avviser dessuten å ha hentet noe som helst fra SafeGuard.

En erfaren sikkerhetsekspert hos Microsoft har fulgt opp denne tilbakevisningen gjennom et motangrep lagt ut på Bugtraq. I meldingen ITS4 from Cigital Flawed gjengir David LeBlanc, kamuflert av en privat e-postadresse, kode med programmeringsfeil som Cigitals produkt ITS4 - noe Cigital anbefaler til alle brukere av Visual Studio.Net - ikke oppdager.

Alle feilene har med oversvømte buffere å gjøre, en type feil Cigital påstår å ha et nærmest skuddsikkert vern mot.

Til toppen