Библиотека Интернет Индустрии I2R.ru |
|||
|
Ошибка в программе zlib делает Linux-компьютеры уязвимыми13.03.2002 02:18 Львиная доля систем на базе ОС с открытым исходным кодом подвергается опасности из-за ошибки библиотеки компрессии/декомпрессии данных в оперативной памяти, используемой во всех версиях Linux. Проблема в разной степени затрагивает и некоторые другие операционные системы, использующие компоненты open-source. Баг, называемый «уязвимостью повторного освобождения», приводит к некорректной работе важных функций управления памятью библиотеки компрессии zlib. Сообразительный хакер может воспользоваться этим, чтобы забраться в компьютер через интернет. «Эксплойт непременно появится — это лишь вопрос времени», — утверждает Дейв Рески (Dave Wreski), директор компании Guardian Digital, специализирующейся на защите ПО open-source. Ошибка, обнаруженная пользователем Linux Маттиасом Клейзеном (Matthias Clasen) и инженером компании Red Hat Оуэном Тейлором (Owen Taylor), проявляется в любой Linux-программе, использующей для декомпрессии библиотеку zlib, в том числе в ядре операционной системы. Эту библиотеку используют многие не-Linux операционные системы, что делает уязвимыми и их. «Zlib применяется в самых разных ОС, от BSD до Solaris, — говорит технический директор Red Hat Марк Кокс (Mark Cox). — Но возможность использования этой уязвимости тоже зависит от операционной системы». Zlib применяется в графической основе Linux-десктопа X11, как и в общей платформе Linux-браузеров Netscape и Galeon. Уязвимы и многие программы редактирования изображений, в которых эта библиотека используется для компрессии данных. Функции zlib реализуются и в сетевой компрессии, «так что при подключении к непроверенным сервисам можно нарваться на злонамеренный код, который вызовет переполнение буфера, запросив область памяти определенным образом», предупреждает Рески. «Так как ошибка находится в библиотеке, атакующий должен указывать программы, которые ее используют, — отмечает Дейв Ахмад (Dave Ahmad), менеджер по анализу угроз компании SecurityFocus. — Существует также ряд приложений, заимствующих код из этой библиотеки». Включение кода непосредственно в другие программы — так называемое статическое связывание — значительно затрудняет исправление ошибки. Если в приложениях, которые просто обращаются к zlib, проблема решается установкой новой версии библиотеки, то программу, в которую включен сам код, нужно исправлять отдельно. Так называемая «уязвимость повторного освобождения» состоит в непредсказуемом поведении программ, использующих библиотеку компрессии zlib, когда злонамеренный код пытается освободить память более одного раза. Большинство нормальных программ не предпринимает повторных попыток освобождения памяти, разве что случайно, однако злоумышленник может воспользоваться этим методом, чтобы попытаться заставить операционную систему выполнить код, передающий ему управление компьютером. Впервые Клейзен столкнулся с этой проблемой, когда созданное им изображение в формате open-source Portable Network Graphics (PNG) привело к аварийному завершению популярного графического редактора. Он сообщил об этом Тейлору в Red Hat, и тот выяснил, что проблема не в программе, а в библиотеке, которую она использует для декомпрессии. «Оуэн обнаружил, что проблема глубже, чем казалось сначала, — говорит Кокс из Red Hat. — Тогда мы поняли, что имеем дело с серьезной брешью в защите». Red Hat сотрудничает с Координационным центром CERT (Computer Emergency Response Team) при Университете Карнеги-Меллона, распространяя информацию об ошибке среди софтверных компаний. Роберт Лемос последние новости 17.05.2006 17:43 | Rambler растет за счет Рунета...» 15.05.2006 15:28 | Бесплатный Page Promoter Bar 2.0: диагностика ресурса в реальном времени...» 12.05.2006 14:57 | Flash освободится от браузера...» 11.05.2006 18:43 | CorelDraw X3 Graphics Suite — счастливый номер 13...» 11.05.2006 17:38 | Google урегулирует иск о "накрутке" посещаемости...» 11.05.2006 16:19 | СМИ уходят в интернет...» 11.05.2006 14:17 | Google предлагает новые программы...» 09.05.2006 17:54 | Российский поисковик с открытыми исходными кодами...» 09.05.2006 17:28 | Сайты-двойники: воровать – так уж целиком...» 05.05.2006 19:59 | Corel покупает WinZip...» 05.05.2006 19:54 | Академия графического дизайна – на юбилейной "Идее!"...» 05.05.2006 19:28 | Google проводит конкурс европейских программистов...» 04.05.2006 20:12 | IE 7.0 становится "яблоком раздора"...» 04.05.2006 20:04 | Firefox обновлен до версии 1.5.0.3...» 04.05.2006 19:46 | RealWeb: Эффективность по курсу…...» 03.05.2006 17:45 | Firefox 2.0 лишили важного нововведения...» 03.05.2006 14:22 | Бесплатный семинар по анализу, оптимизации, продвижению и управлению ресурсом...» 29.04.2006 19:02 | Бесплатная программа для 3D-рисования от Google...» 29.04.2006 19:00 | Программисты теперь могут работать без рук...» 29.04.2006 18:50 | В интернете появился "убийца" браузера Internet Explorer...» |
|
2000-2008 г. Все авторские права соблюдены. |
|