В четверг, буквально на следующий день после помпезного представления Биллом Гейтсом главных средств разработки веб-приложений на платформе .NET независимые эксперты обнаружили в них серьезную дыру.
Это старая добрая уязвимость переполнения буфера, неразлучная с продуктами Microsoft. На этот раз она обнаружена в компиляторе Visual C++.NET, который входит в состав представленного в среду инструментария веб-разработчиков Visual Studio .NET.
Интересно, что переполнению буфера оказался подвержен специальный встроенный в компилятор механизм безопасности, защищающий программы именно от этой уязвимости. Механизм автоматически проверяет исходные коды, обеспечивая защиту от атак, использующих переполнение буфера. Данная уязвимость переходит на все программы, создаваемые с помощью компилятора. Дырявый защитный механизм вместо латания дыр расставляет их.
Дыру в только что выпущенном в продажу продукте обнаружили специалисты консалтинговой компании Cigital, специализирующейся на оценках безопасности программного обеспечения. По их мнению, баг опасен тем, что создает у разработчиков ложное ощущение защищенности. Между тем, любые производимые ими приложения будут уязвимы для хакеров.
Microsoft пока никак не отреагировала на обнаружение трещины в "краеугольных камнях платформы .NET".
