Нетоскоп / Новости / Дыра .NET нашлась в механизме защиты от дыр

		Нетоскоп/Новости/15.02.2002 http://www.netoscope.ru/news/2002/02/15/4806.html Дыра .NET нашлась в механизме защиты от дыр Вячеслав Ансимов 15.02.2002 17:15

В четверг, буквально на следующий день после помпезного представления Биллом Гейтсом главных средств разработки веб-приложений на платформе .NET независимые эксперты обнаружили в них серьезную дыру.

Это старая добрая уязвимость переполнения буфера, неразлучная с продуктами Microsoft. На этот раз она обнаружена в компиляторе Visual C++.NET, который входит в состав представленного в среду инструментария веб-разработчиков Visual Studio .NET.

Интересно, что переполнению буфера оказался подвержен специальный встроенный в компилятор механизм безопасности, защищающий программы именно от этой уязвимости. Механизм автоматически проверяет исходные коды, обеспечивая защиту от атак, использующих переполнение буфера. Данная уязвимость переходит на все программы, создаваемые с помощью компилятора. Дырявый защитный механизм вместо латания дыр расставляет их.

Дыру в только что выпущенном в продажу продукте обнаружили специалисты консалтинговой компании Cigital, специализирующейся на оценках безопасности программного обеспечения. По их мнению, баг опасен тем, что создает у разработчиков ложное ощущение защищенности. Между тем, любые производимые ими приложения будут уязвимы для хакеров.

Microsoft пока никак не отреагировала на обнаружение трещины в "краеугольных камнях платформы .NET".