Маленькая деталь
АрхивКомментарий дняОчередная "дыра" в популярной программной библиотеке обещает аукнуться десяткам производителей программного обеспечения и миллионам пользователей.
Нынешний август выдался чрезвычайно урожайным на новости крякерской тематики. Вслед за взломом OpenSSH, арестом в Израиле шестерых вирусописателей и несколькими событиями масштабом помельче, в заголовках сетевой прессы - очередная громкая история. Требующая серьёзного к себе отношения прежде всего в силу специфики задействованных в ней инструментов. Стремительно обретающий известность инцидент в мире компьютерном по сути своей чем-то напоминает конструкторскую оплошность на обычном заводе - где мелкая деталь, которую успели наштамповать в огромном количестве и столь же массово использовать, вдруг оказалась дефектной. И теперь, чтобы избежать больших проблем эту самую деталь совершенно необходимо заменить во всех продуктах, где она была применена.
Впрочем, довольно аналогий. Дефектной деталью в малоприятной истории, которая была впервые обрисована координационным центром CERT в понедельник, 5-го августа, выступила программная библиотека XDR, созданная Sun Microsystems. За сухим её названием, расшифровывающимся как external data representation - внешнее представление данных, скрывается замечательный стандарт описания и кодирования данных для безболезненного переноса их между процессами, работающими на разных компьютерных платформах. XDR выступает посредником, помогая системам разных типов меняться информацией и не задумываться о различиях в реализации и идеологиях. В одной из функций этой библиотеки (xdr_array), по причине обычного программистского недосмотра, и затесалась банальная ошибка переполнения буфера. Используется библиотечка XDR чрезвычайно широко - чаще всего попадаясь в операционных системах (которым от природы необходимо умение взаимодействовать со всем и вся), но встречаясь и в других программных продуктах.
В силу широты диапазона применений XDR, вариантов использования обнаруженной дыры необычайно много. Здесь и простое удалённое лишение программы или системы работоспособности, здесь и кража информации, и получение полного управления над машиной. Согласно отчёту CERT - специалисты которого по традиции связываются с производителями потенциально подверженных опасности продуктов - под удар попала MacOS X, множество вариантов UNIX-подобных систем (Linux'ы в их числе), возможно и Windows - хотя Microsoft ещё не подтвердила этот факт. Впрочем, говорить о подверженности Windows можно с полной уверенностью в силу того, что ошибка в XDR ударила по другому очень популярному продукту - свободной программной реализации аутентификационного протокола Kerberos от MIT, используемой в Win2K и других ОС: атаковав её, злоумышленник может получить доступ к базе, в которой хранятся ключи клиентов, и тем самым обрести возможность доступа к закрытым для посторонних сетевым сервисам.
Огромный дипазон проблем, встающих из-за наличия в различных продуктах дефектной библиотеки - не единственная особенность новой "дыры". Возвращаясь к аналогии, с которой начиналась эта заметка, представьте, сколько трудов потребует предотвращение возможных негативных последствий - ведь необходимо донести новость до авторов каждой программы, эту библиотеку использующей, после чего им предстоит ещё и написать заплатки, которые предоставить пользователям. Скорее всего, в полной мере это никогда не будет осуществлено. А потому даже несмотря на то, что пока ещё эксплоитов для использования новой уязвимости не изготовлено, "дыра" в XDR останется в арсенале взломщиков на долгие годы.
Обсудите материал в форуме