日前,从国内漏洞发布平台乌云网了解,近期暴出大部分软件开发工具的高危漏洞。
一名叫光刃的白帽子在过去的2个月里陆续发现。很多软件集成开发工具存在软件安全漏洞。其中甚至囊括一些著名的软件公司。
部分信息如下:
RADASM:世界上最强大的汇编编辑器,罗马尼亚天才程序员所开发。
http://www.wooyun.org/bugs/wooyun-2010-044066
http://www.wooyun.org/bugs/wooyun-2010-047204
http://www.wooyun.org/bugs/wooyun-2010-047426
VB6.0: 微软公司开发的最经典的快速开发工具。
http://www.wooyun.org/bugs/wooyun-2010-046958
DEV-C++:当今最流行的C++编程工具之一,也是NOI、NOIP等比赛的指定工具。
http://www.wooyun.org/bugs/wooyun-2010-046827
C++ builder Delphi:Borland公司(曾经是世界第三大软件公司)的二款集成开发环境。
http://www.wooyun.org/bugs/wooyun-2010-047549
E语言:全世界最好最大的汉语编程环境。
http://www.wooyun.org/bugs/wooyun-2010-044371
该白帽子发布的这些漏洞皆为内存缓冲区溢出漏洞,内存缓冲区漏洞是当今最严重的漏洞。他在乌云网宣称:
攻击者可以构造特定的源文件,存在漏洞的编译器打开它们后即可执行当中的恶意程序(Shellcode),
即可利用此漏洞执行任意想执行的程序。”
庆幸的是该白帽子只是把这些漏洞发布到漏洞平台,而不是卖给黑色产业链。否则用那些工具编程的程序员可能就要遭殃了。
著名的软件公司都这样,并且是成批的出现漏洞。那普通软件公司又如何呢?软件安全值得我们深思。更值得我们重视。