Исследовательская группа компании Fortify Software, разработчика ПО для
анализа уязвимостей, открыла новый вид уязвимости, названный cross-build
injection
внедрение на этапе сборки»).

Уязвимость была открыта в ходе работы над проектом с открытым кодом Java Open
Review (JOR). Атакующий может внедрить код в целевую программу на этапе ее
сборки из исходного кода. Компания выпустила техническое описание уязвимости и
обновила пакет правил безопасного программирования Fortify Secure Coding
Rulepacks. В пакет также включена поддержка стандарта CWE (Common Weakness
Enumeration) и поддержка защиты от уязвимостей к LDAP-инъекции. «Данный новый
класс уязвимостей отражает растущее внимание хакеров к процессу разработки
программного обеспечения как средства внедрения в корпоративные системы, —
сказал основатель и ведущий ученый компании Брайан Чесс. – Вместо эксплуатации
уязвимостей в приложениях, атакующие могут внедрить «черные ходы» на этапе
разработки… Сегодня компании наиболее уязвимы к этому типу атак».

Источник:
Cnews.ru



Оставить мнение