Beveiligingsonderzoekers van Core Security hebben een ernstig beveiligingslek in een door NASA ontwikkeld bestandsformaat ontdekt dat bij honderden overheidsinstellingen, universiteiten, private en commerciële ondernemingen in gebruik is. NASA's Common Data Format (CDF) is een gemeenschappelijk gegevensformaat en wordt omschreven als "een bibliotheek en gereedschapskist voor multi-dimensionale gegevensverzamelingen."
Om kwetsbare systemen over te nemen moet een aanvaller het slachtoffer zover krijgen dat hij of zij een kwaadaardig CDF bestand opent. Volgens NASA is het onwaarschijnlijk dat medewerkers van NASA en andere overheidsinstellingen dit doen, toch wordt iedereen opgeroepen te upgraden naar de nieuwste versie van het bestandsformaat. Met name systeembeheerders van servers die bestanden van het internet accepteren en automatisch verwerken doen er verstandig aan versie 3.2.1 te installeren. Het lek zou alleen in eerdere versies aanwezig zijn. NASA had precies een maand nodig om na de melding van Core Security de update te ontwikkelen.
De ruimtevaartorganisatie gaat wel heel gemakkelijk voorbij aan het gevaar dat werknemers willekeurige bestanden niet zouden openen. Onlangs werd een Nigeriaan veroordeeld omdat hij een NASA-werknemer malware op haar kantoor PC had laten installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.