Strict Standards: Only variables should be assigned by reference in /home/crimerus/public_html/manage/_config_.php on line 52
Зависимость от киберпреступности

Центр исследования компьютерной преступности

home контакты

Зависимость от киберпреступности

Дата: 26.11.2007
Источник: crime-research.ru


etc/cybercrime2.jpg Компания Fortify Software обнаружила новый тип атаки - внедрение во время разработки (Cross-Build Injection), при которой уязвимость в продукте появляется во время сборки программного обеспечения с открытым кодом. Впрочем, аналогичные проблемы могут возникнуть и в коммерческих продуктах, когда для их создания используются системы распределенной сборки, такие как Ant, Maven или Ivy. Они позволяют хакеру с помощью изменения DNS или внедрения в один из серверов сборки указать в качестве одной из необходимых библиотек свой вредоносный код.

Когда программа сборки будет компилировать такое приложение она, в соответствии с указанными зависимостями, подсоединит и вредоносную библиотеку. В результате, приложение будет содержать вредоносный компонент изначально. Возможно, этой же атаке подвержены и другие системы распределенной разработки приложений. Специалисты Fortify Software обнаружили эту проблему, когда работали над проектом Java Open Review (JOR), в котором изучали безопасности технологии Java.

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2021 Computer Crime Research Center

CCRC logo