Львиная доля систем на базе ОС с открытым исходным кодом подвергается опасности из-за ошибки библиотеки компрессии/декомпрессии данных в оперативной памяти, используемой во всех версиях Linux.

Проблема в разной степени затрагивает и некоторые другие операционные системы, использующие компоненты open-source.

Баг, называемый «уязвимостью повторного освобождения», приводит к некорректной работе важных функций управления памятью библиотеки компрессии zlib. Сообразительный хакер может воспользоваться этим, чтобы забраться в компьютер через интернет. «Эксплойт непременно появится — это лишь вопрос времени», — утверждает Дейв Рески (Dave Wreski), директор компании Guardian Digital, специализирующейся на защите ПО open-source.

Ошибка, обнаруженная пользователем Linux Маттиасом Клейзеном (Matthias Clasen) и инженером компании Red Hat Оуэном Тейлором (Owen Taylor), проявляется в любой Linux-программе, использующей для декомпрессии библиотеку zlib, в том числе в ядре операционной системы. Эту библиотеку используют многие не-Linux операционные системы, что делает уязвимыми и их. «Zlib применяется в самых разных ОС, от BSD до Solaris, — говорит технический директор Red Hat Марк Кокс (Mark Cox). — Но возможность использования этой уязвимости тоже зависит от операционной системы». Zlib применяется в графической основе Linux-десктопа X11, как и в общей платформе Linux-браузеров Netscape и Galeon. Уязвимы и многие программы редактирования изображений, в которых эта библиотека используется для компрессии данных. Функции zlib реализуются и в сетевой компрессии, «так что при подключении к непроверенным сервисам можно нарваться на злонамеренный код, который вызовет переполнение буфера, запросив область памяти определенным образом», предупреждает Рески.

«Так как ошибка находится в библиотеке, атакующий должен указывать программы, которые ее используют, — отмечает Дейв Ахмад (Dave Ahmad), менеджер по анализу угроз компании SecurityFocus. — Существует также ряд приложений, заимствующих код из этой библиотеки». Включение кода непосредственно в другие программы — так называемое статическое связывание — значительно затрудняет исправление ошибки. Если в приложениях, которые просто обращаются к zlib, проблема решается установкой новой версии библиотеки, то программу, в которую включен сам код, нужно исправлять отдельно.

Так называемая «уязвимость повторного освобождения» состоит в непредсказуемом поведении программ, использующих библиотеку компрессии zlib, когда злонамеренный код пытается освободить память более одного раза. Большинство нормальных программ не предпринимает повторных попыток освобождения памяти, разве что случайно, однако злоумышленник может воспользоваться этим методом, чтобы попытаться заставить операционную систему выполнить код, передающий ему управление компьютером.

Впервые Клейзен столкнулся с этой проблемой, когда созданное им изображение в формате open-source Portable Network Graphics (PNG) привело к аварийному завершению популярного графического редактора. Он сообщил об этом Тейлору в Red Hat, и тот выяснил, что проблема не в программе, а в библиотеке, которую она использует для декомпрессии. «Оуэн обнаружил, что проблема глубже, чем казалось сначала, — говорит Кокс из Red Hat. — Тогда мы поняли, что имеем дело с серьезной брешью в защите». Red Hat сотрудничает с Координационным центром CERT (Computer Emergency Response Team) при Университете Карнеги-Меллона, распространяя информацию об ошибке среди софтверных компаний.

	Библиотека Интернет Индустрии I2R.ru	Малобюджетные сайты... Продвижение веб-сайта... Контент и авторское право...
Забобрить! Блог		Поиск:	Рассылки для занятых...»

Библиотека Интернет Индустрии I2R.ru

Малобюджетные сайты...

Продвижение веб-сайта...

Контент и авторское право...

Ошибка в программе zlib делает Linux-компьютеры уязвимыми