NASA sérülékeny kódjai
Leon Juranic, a ThreatLeap biztonsági cég alapítója és tapasztalt kiberbiztonsági kutató egy négyórás kézi kódfelülvizsgálat során súlyos sérülékenységeket tárt fel a NASA nyílt forráskódú szoftvereiben. Munkája nem előzmény nélküli: már 2009-ben is azonosított kritikus memóriakezelési hibákat a NASA Goddard Űrközpontjában használt Common Data Format (CDF) könyvtárban.
A mostani vizsgálatban Juranic a NASA QuIP nevű képmegjelenítő környezetére összpontosított, és verem-alapú puffer túlcsordulást talált, amely súlyos kihasználhatósági lehetőséget jelent. Felhívta a figyelmet arra, hogy a NASA által használt speciális fájlformátumok több GitHub-tárolóban is elérhetők, és ezek – rosszindulatúan szerkesztett állományok révén – könnyen terjeszthetők e-mailben vagy webes csatornákon keresztül, így kihasználva a sebezhetőségeket.
Komoly problémát jelent, hogy a NASA hivatalos GitHub-fiókja nem szerepel az ügynökség hibavadász (bug bounty) programjában, ezért a kutató nem tudta az ismert platformokon keresztül szabályosan jelenteni a hibákat. Ez a gyakorlat lassítja a sebezhetőségek kezelését, és növeli az időablakot, amely alatt egy támadó kihasználhatja őket.