Библиотека Интернет Индустрии I2R.ru |
|||
|
Баг open-source проник в код Microsoft16.03.2002 02:40 Секьюрити-баг, обнаруженный в программе компрессии данных open-source, что используется Linux- и Unix-системами, может влиять и на ряд продуктов Microsoft, в которых применяется этот код. Как сообщила на этой неделе компания CNET News.com, ошибка в библиотеке компрессии данных zlib делает уязвимыми для атак многие системы на базе Linux. В четверг обнаружилось также, что по крайней мере девять важных приложений Microsoft, в том числе Microsoft Office, Internet Explorer, DirectX, Messenger и Front Page — содержат код, позаимствованный из этой библиотеки, и, следовательно, тоже могут допускать аналогичные атаки. По словам представителей Microsoft, служба информационной безопасности софтверного гиганта изучает баг zlib. Выяснилось, что некоторые приложения Microsoft действительно используют код из этой библиотеки. Однако служба пока не установила, в каких именно приложениях применяется библиотека и делает ли это их уязвимыми. Библиотека zlib почти десять лет является фундаментальным компонентом ПО open-source и присутствует почти в каждой системе Linux и Unix. Это означает, что обнаруженный в ней так называемый баг «повторного освобождения» делает уязвимыми значительную часть таких систем. Вот и Microsoft, позаимствовав часть этого кода, тоже может оказаться в числе пострадавших. Члены проекта open-source Gzip опубликовали список, содержащий почти 600 приложений, использующих код zlib. В этом списке девять программ Microsoft: Microsoft DirectX 8, FrontPage, Graphics Device Interface, InstallShield, Internet Explorer, Office, NetShow, Visual Studio и Messenger. Graphics Device Interface нового поколения входит в Windows XP, так что и эта операционная система может оказаться уязвимой. Программа, при помощи которой выявлялось наличие в приложениях кода zlib, использует три сигнатурные цепочки, присутствующие в этом коде — и еще несколько для углубленного поиска. Она обнаруживала, присутствуют ли в анализируемой программе функции данной библиотеки. Например, Microsoft Direct X содержит 18 сообщений об ошибках, идентичных имеющимся в zlib. «ПО Microsoft затронуто, но это необязательно делает его уязвимым», — говорит Жан-Лу Гайли (Jean-loup Gailly), главный архитектор ПО компании Vision IQ и один из создателей библиотеки zlib. Это зависит от того, как написаны другие библиотеки, с которыми взаимодействует zlib. По словам аналитика IDC Дэна Кузнецки (Dan Kusnetzky), компании, использующие код, разработанный сообществом open-source, обязательно должны изучать его на наличие подобных уязвимостей. «Некоторые продукты open-source хорошо протестированы и не содержат большого числа ошибок, — говорит он. — Другие протестированы хуже и могут содержать баги, которые впоследствии проявятся». Ошибка повторного освобождения библиотеки zlib показывает, что даже хорошо протестированное ПО все же может пасть жертвой скрытых проблем безопасности. Лицензия, по которой распространяется библиотека zlib, позволяет любой компании использовать код любым способом. В отличие от лицензии GNU General Public License, она не требует, чтобы компания в ответ на это публиковала свой собственный код. И все же инцидент, похоже, доказывает, что Microsoft, которая публично порицает движение open-source, все же включает чужое ПО в свои собственные продукты. Софтверный гигант не впервые использует код из open-source источников. Некоторые программисты утверждают, что технология GS flag, которую Microsoft добавила в свой новейший компилятор для предотвращения распространенной ошибки программирования, на самом деле использует код из проекта open-source StackGuard. «Скопировала ли Microsoft функциональность StackGuard — вопрос спорный, — написал в феврале CNET News.com главный специалист компании Wirex Communications и создатель StackGuard Криспин Коуэн (Crispin Cowan). — Однако несомненно, что GS работает точно так же, как StackGuard». Прошлым летом были обнаружены свидетельства того, что некоторые сетевые утилиты и, возможно, часть стека TCP/IP в операционной системе Windows позаимствованы из FreeBSD Unix. Тео Дераадт (Theo de Raadt), основатель и руководитель проекта другого варианта Unix, OpenBSD, отмечает, однако, что бесспорных свидетельств этому нет. «Меня то и дело спрашивают об этом, но у меня нет доказательств», — говорит он. Microsoft никогда не отрицала, что ее программисты могут использовать код open-source, но только не тот, что распространяется по лицензии GNU General Public License, вынуждающей компанию публиковать собственный исходный код. Лицензия, по которой распространяется библиотека zlib, требует только одного: чтобы в программе open-source, если она будет опубликована, присутствовало уведомление об авторском праве. Microsoft, которая редко публикует исходный код, не нужно включать уведомление в свои программы, однако Гайли, создатель zlib, хочет получить от софтверного гиганта дань уважения. «Мне не нравится, что они удалили строку о копирайте zlib из некоторых двоичных версий», — сказал он. Новые версии библиотеки, по его словам, будут, по всей видимости, включать такое требование. Роберт Лемос последние новости 16.03.2002 07:33 | Большая часть выставки современных технологий CeBIT 2002 отведена мерам безопасности...» 16.03.2002 06:35 | Российский Интернет Форум закрылся...» 16.03.2002 05:21 | Американский бездомный взламывает крупнейшие сайты...» 16.03.2002 02:40 | Мобильная связь на выставке CeBIT...» 16.03.2002 02:40 | Баг open-source проник в код Microsoft ...» 16.03.2002 02:16 | Вирусная энциклопедия - совместный проект Zdnet.de и "Лаборатории Касперского"...» 16.03.2002 01:05 | AOL секретно выпускает альфа-версию ICQ 2002a, но она становится доступной всем...» 16.03.2002 00:49 | Компания DoCoMo планирует начать испытания сети 802.11b...» 15.03.2002 16:48 | Холодный процессор быстрее думает...» 15.03.2002 16:03 | Финансовые структуры выбирают решение Algorithmics...» 15.03.2002 15:38 | В Великобритании электронной почтой пользуются чаще, чем обычной...» 15.03.2002 15:05 | Мобильной коммерции необходимы стандарты проведения микроплатежей...» 15.03.2002 14:34 | Microsoft представляет украинскую версию Microsoft Office XP...» 15.03.2002 14:05 | 15 марта - заключительный день РИФа...» 15.03.2002 14:02 | Все больше компаний используют Интернет для общения с клиентами...» 15.03.2002 14:00 | Advanced Mass Sender v 3.95 - oдна из самых мощных программ для массовой рассылки электронной почты....» 15.03.2002 13:57 | Magic HTML Studio - это профессиональный HTML редактор...» 15.03.2002 13:43 | Мозговые импульсы обезьян помогут людям...» 15.03.2002 13:33 | Против Andersen выдвинуты обвинения ...» 15.03.2002 13:26 | Умная кредитка с клавишами и дисплеем...» |
|
2000-2008 г. Все авторские права соблюдены. |
|