Oppdaget lekkasje gjennom Microsofts sikkerhetspropp

Microsoft brukte et Linux-verktøy for å skjerpe sikkerheten i utviklerverktøyet Visual Studio.Net. Eksperter har påvist at proppen er lekk.

Dagen etter den offisielle lanseringen av det svært omfattende utviklerverktøyet Visual Studio.Net - ifølge Microsoft selv et av selskapets absolutt nøkkelprodukter for .Net-strategien - kunngjorde sikkerhetsselskapet Cigital at en funksjon som Microsoft hadde hentet fra åpen kildekodeverden for å hindre sårbarheter av typen oversvømmede buffere, har samme type sårbarhet selv.

Funksjonen selv er ikke nevnt i Cigitals egen omtale av oppdagelsen, men skal, ifølge ZDNet, dreie seg om WireX-produktet StackGuard som distribueres som åpen kildekode. StackGuard er blant hjelpemidlene som WireX stiller til disposisjon for Sardonix Security Portal, en offentlig finansiert amerikansk tjeneste for å gi bedre sikkerhet i programvare distribuert som åpen kildekode.

Svakhetene i StackGuard skal ha blitt beskrevet av hackerorienterte publikasjoner.

Microsoft innlemmet funksjonaliteten fordi den kjøres under kompilering for å avdekke kode som kan være sårbar overfor bufferoversvømming. Den brukes i Visual Studio.Nets håndtering av kode i C++.

Cigital opplyser at sårbarheten i Visual Studio.Net C++ ble oppdaget under uttesting av selskapets sikkerhetsverktøy ITS4. Dette verktøyet analyserer kildekode i C++ og C med tanke på mulige sikkerhetshull. Det kan lastes ned som kildekode fra Cigitals nettsted.

Microsoft mener sårbarheten ikke er alvorlig, og peker blant annet på at programmerere har et selvstendig ansvar for å gardere sin kode mot mulig bufferoversvømming i den ferdige applikasjonen. Den innebygde sjekken er ment som et hjelpemiddel, ikke som garanti, heter det.

Microsoft slår også tilbake mot Cigital, fordi sikkerhetsselskapet sendte ut en pressemelding bare tolv timer etter å ha informert Microsoft om den nyoppdagede sårbarheten. Flere sikkerhetseksperter som uttaler seg til amerikansk presse gir Microsoft medhold på dette punktet.

Til toppen