Veel belangrijke opensourceprojecten zijn gemaakt met 'memory unsafe' programmeertalen en bevatten mogelijk 'memory safety' kwetsbaarheden, zo stellen de FBI, de Amerikaanse geheime dienst NSA, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en cyberagentschappen van Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk in een nieuw rapport (pdf).
De diensten deden onderzoek naar 172 belangrijke opensourceprojecten en ontdekten dat 52 procent van de projecten code bevat die door middel van een 'memory unsafe' programmeertaal is geschreven. Als voorbeelden van memory unsafe programmeertalen worden C en C++ genoemd. Dergelijke talen kunnen leiden tot memory safety kwetsbaarheden, die op grote schaal in hedendaagse software voorkomen. Het gaat dan bijvoorbeeld om buffer overflows of een use-after-free, waardoor een aanvaller in het ergste geval willekeurige code op systemen kan uitvoeren.
Begin dit jaar deed het Witte Huis een oproep aan programmeurs en softwareleveranciers om 'memory safe' programmeertalen te gebruiken. Om te zien hoe groot het probleem van memory unsafety in opensourcecode is, voerden de eerder genoemde diensten het onderzoek uit. Zo blijkt dat 55 procent van alle regels code voor alle projecten in een memory-unsafe programmeertaal is geschreven.
De grootste projecten zijn disproportioneel vaak in memory-unsafe talen geschreven, aldus het onderzoek. Zelfs projecten die in een memory-safe taal geschreven zijn blijken door dependencies kwetsbaar te zijn. Drie in memory-safe talen geschreven projecten bleken allemaal afhankelijk te zijn van onderdelen die in een memory-unsafe taal waren geschreven.
"We stellen vast dat de meeste belangrijke onderzochte opensourceprojecten, zelfs die in memory-safe talen zijn geschreven, mogelijk memory safety kwetsbaarheden bevatten. Dit kan worden veroorzaakt door direct gebruik van memory-unsafe talen of externe afhankelijkheid van projecten die memory-unsafe talen gebruiken", aldus de diensten.
Volgens de diensten is het belangrijk om de omvang van memory-unsafety risico's in opensourcesoftware te begrijpen en verwelkomen ze aanvullend onderzoek. Daarbij merken ze op dat hoewel memory-safety kwetsbaarheden de meestvoorkomende klasse van kwetsbaarheden zijn, het belangrijk is om ook andere systemische klasse kwetsbaarheden te verminderen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.