A puffer túlcsordulásos sérülékenységek kiküszöbölése
Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) és a Szövetségi Nyomozó Iroda (FBI 2025. február 12-én „Eliminating Buffer Overflow Vulnerabilities” címmel összefoglalót tett közzé, amely a „Secure by Design” sorozat része, amelynek célja az iparági szintű legjobb gyakorlatok fejlesztése a sérülékenységek kiküszöbölése érdekében a termékek életciklusának tervezési és fejlesztési fázisaiban. Az ügynökségek a puffer túlcsordulásos sérülékenységeket a memory safety tervezési hibáinak elterjedt típusaként kezelik, amelyek gyakran a rendszerek kompromittáláshoz vezetnek. A kiberszereplők gyakran kihasználják ezeket a sérülékenységeket, hogy kezdeti hozzáférést szerezzenek egy szervezet hálózatához, majd oldalirányban mozogjanak azon.
A szerzők sürgetik a gyártókat, hogy haladéktalanul tegyenek lépéseket annak érdekében, hogy megakadályozzák a puffer túlcsordulásos sérülékenységek termékekbe való beépülését. A figyelmeztetés ismerteti a puffer túlcsordulással kapcsolatos sérülékenységek megelőzésére vagy mérséklésére szolgáló bevált technikákat a biztonságos tervezés elvei és a legjobb gyakorlatok révén. Az ajánlás csak a CISA által leghatékonyabbnak és legmegvalósíthatóbbnak ítélt módszereket tartalmazza. A puffer túlcsordulásos sérülékenységek megelőzése érdekében a szervezeteknek többek között olyan secure by design gyakorlatokat javasolt alkalmazniuk, mint például memóriabiztos nyelvek használata a szoftverfejlesztés során.
A Google 2024. szeptemberben egy blogbejegyzésben közölte, hogy a secure-by-design megközelítés részeként a memóriabiztos nyelvekre, például a Rustra való áttérés hat év alatt 76%-ról 24%-ra csökkentette az Android OS-ben felfedezett memory-safety sérülékenységek arányát. A technológiai óriás szerint a biztonságos kódolásra való összpontosítás az új funkciók esetében nemcsak a kódbázis általános biztonsági kockázatát csökkenti, hanem az átállást „skálázhatóbbá és költséghatékonyabbá” is teszi.
