Центр исследования компьютерной преступности

home контакты

Зависимость от киберпреступности

Дата: 26.11.2007
Источник: www.crime-research.ru


etc/cybercrime2.jpgКомпания Fortify Software обнаружила новый тип атаки - внедрение во время разработки (Cross-Build Injection), при которой уязвимость в продукте появляется во время сборки программного обеспечения с открытым кодом. Впрочем, аналогичные проблемы могут возникнуть и в коммерческих продуктах, когда для их создания используются системы распределенной сборки, такие как Ant, Maven или Ivy. Они позволяют хакеру с помощью изменения DNS или внедрения в один из серверов сборки указать в качестве одной из необходимых библиотек свой вредоносный код.

Когда программа сборки будет компилировать такое приложение она, в соответствии с указанными зависимостями, подсоединит и вредоносную библиотеку. В результате, приложение будет содержать вредоносный компонент изначально. Возможно, этой же атаке подвержены и другие системы распределенной разработки приложений. Специалисты Fortify Software обнаружили эту проблему, когда работали над проектом Java Open Review (JOR), в котором изучали безопасности технологии Java.

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2008 Computer Crime Research Center

CCRC logo
Рассылка новостей


Rambler's Top100