De FBI en de Amerikaanse geheime dienst NSA, alsmede overheidsdiensten uit Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk hebben programmeurs, ontwikkelaars en bedrijven opgeroepen om veilige programmeertalen zoals Rust, Python en Swift te gebruiken (pdf). Het gaat dan specifiek om 'memory safe' programmeertalen die geheugengerelateerde kwetsbaarheden zoals buffer overflows moeten tegengaan.
Dergelijke beveiligingslekken zijn nog altijd de meestvoorkomende kwetsbaarheden in software, aldus de overheidsdiensten. Zo'n zeventig procent van de beveiligingslekken in producten van Microsoft als Google Chrome vallen in deze categorie. Bijna zeventig procent van de zerodaylekken die in 2021 werd ontdekt betrof een 'memory safety' kwetsbaarheid.
Via deze beveiligingslekken kan een aanvaller in het ergste geval willekeurige code uitvoeren en het systeem overnemen. Hoewel softwareontwikkelaars veel hebben geïnvesteerd in het voorkomen van 'memory safety' kwetsbaarheden komen ze nog altijd op grote schaal voor. Volgens de overheidsdiensten van de Five Eyes-landen is de beste oplossing voor softwareontwikkelaars om een 'memory safe' programmeertaal te gebruiken, aangezien die niet vatbaar voor 'memory safety' kwetsbaarheden zijn.
"Geheugen onveilige programmeertalen zoals C en C++ behoren tot de meestgebruikte programmeertalen. Internetapplicaties en apparaten door het gehele techlandschap maken gebruik van geheugen onveilige programmeertalen", stellen de diensten. "Geheugen onveilige programmeertalen zijn zo wijdverbreid dat erop dit moment een groot risico voor de belangrijkste computerfuncties is."
De overheidsdiensten beseffen dat de overstap naar geheugen veilige programmeertalen grote investeringen en aandacht van het management vereist. Daarom hebben ze gezamenlijk een document gepubliceerd dat voor de overstap naar de veiligere programmeertalen moet zorgen. Daarnaast worden softwareontwikkelaars opgeroepen om roadmaps te publiceren waarin ze beschrijven hoe ze geheugengerelateerde kwetsbaarheden in hun producten gaan aanpakken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.