Баг open-source проник в код Microsoft

Секьюрити-баг, обнаруженный в программе компрессии данных open-source, что используется Linux- и Unix-системами, может влиять и на ряд продуктов Microsoft, в которых применяется этот код.

Как сообщила на этой неделе компания CNET News.com, ошибка в библиотеке компрессии данных zlib делает уязвимыми для атак многие системы на базе Linux. В четверг обнаружилось также, что по крайней мере девять важных приложений Microsoft, в том числе Microsoft Office, Internet Explorer, DirectX, Messenger и Front Page — содержат код, позаимствованный из этой библиотеки, и, следовательно, тоже могут допускать аналогичные атаки.

По словам представителей Microsoft, служба информационной безопасности софтверного гиганта изучает баг zlib. Выяснилось, что некоторые приложения Microsoft действительно используют код из этой библиотеки. Однако служба пока не установила, в каких именно приложениях применяется библиотека и делает ли это их уязвимыми.

Библиотека zlib почти десять лет является фундаментальным компонентом ПО open-source и присутствует почти в каждой системе Linux и Unix. Это означает, что обнаруженный в ней так называемый баг «повторного освобождения» делает уязвимыми значительную часть таких систем. Вот и Microsoft, позаимствовав часть этого кода, тоже может оказаться в числе пострадавших.

Члены проекта open-source Gzip опубликовали список, содержащий почти 600 приложений, использующих код zlib. В этом списке девять программ Microsoft: Microsoft DirectX 8, FrontPage, Graphics Device Interface, InstallShield, Internet Explorer, Office, NetShow, Visual Studio и Messenger. Graphics Device Interface нового поколения входит в Windows XP, так что и эта операционная система может оказаться уязвимой.

Программа, при помощи которой выявлялось наличие в приложениях кода zlib, использует три сигнатурные цепочки, присутствующие в этом коде — и еще несколько для углубленного поиска. Она обнаруживала, присутствуют ли в анализируемой программе функции данной библиотеки. Например, Microsoft Direct X содержит 18 сообщений об ошибках, идентичных имеющимся в zlib. «ПО Microsoft затронуто, но это необязательно делает его уязвимым», — говорит Жан-Лу Гайли (Jean-loup Gailly), главный архитектор ПО компании Vision IQ и один из создателей библиотеки zlib. Это зависит от того, как написаны другие библиотеки, с которыми взаимодействует zlib.

По словам аналитика IDC Дэна Кузнецки (Dan Kusnetzky), компании, использующие код, разработанный сообществом open-source, обязательно должны изучать его на наличие подобных уязвимостей. «Некоторые продукты open-source хорошо протестированы и не содержат большого числа ошибок, — говорит он. — Другие протестированы хуже и могут содержать баги, которые впоследствии проявятся». Ошибка повторного освобождения библиотеки zlib показывает, что даже хорошо протестированное ПО все же может пасть жертвой скрытых проблем безопасности.

Лицензия, по которой распространяется библиотека zlib, позволяет любой компании использовать код любым способом. В отличие от лицензии GNU General Public License, она не требует, чтобы компания в ответ на это публиковала свой собственный код. И все же инцидент, похоже, доказывает, что Microsoft, которая публично порицает движение open-source, все же включает чужое ПО в свои собственные продукты.

Софтверный гигант не впервые использует код из open-source источников. Некоторые программисты утверждают, что технология GS flag, которую Microsoft добавила в свой новейший компилятор для предотвращения распространенной ошибки программирования, на самом деле использует код из проекта open-source StackGuard. «Скопировала ли Microsoft функциональность StackGuard — вопрос спорный, — написал в феврале CNET News.com главный специалист компании Wirex Communications и создатель StackGuard Криспин Коуэн (Crispin Cowan). — Однако несомненно, что GS работает точно так же, как StackGuard».

Прошлым летом были обнаружены свидетельства того, что некоторые сетевые утилиты и, возможно, часть стека TCP/IP в операционной системе Windows позаимствованы из FreeBSD Unix. Тео Дераадт (Theo de Raadt), основатель и руководитель проекта другого варианта Unix, OpenBSD, отмечает, однако, что бесспорных свидетельств этому нет. «Меня то и дело спрашивают об этом, но у меня нет доказательств», — говорит он.

Microsoft никогда не отрицала, что ее программисты могут использовать код open-source, но только не тот, что распространяется по лицензии GNU General Public License, вынуждающей компанию публиковать собственный исходный код. Лицензия, по которой распространяется библиотека zlib, требует только одного: чтобы в программе open-source, если она будет опубликована, присутствовало уведомление об авторском праве. Microsoft, которая редко публикует исходный код, не нужно включать уведомление в свои программы, однако Гайли, создатель zlib, хочет получить от софтверного гиганта дань уважения. «Мне не нравится, что они удалили строку о копирайте zlib из некоторых двоичных версий», — сказал он. Новые версии библиотеки, по его словам, будут, по всей видимости, включать такое требование.

Предыдущие публикации:

2002-03-12

Ошибка в программе zlib делает Linux-компьютеры уязвимыми

В продолжение темы:

2002-04-01		Microsoft залатала IE, но ее проблемы не закончились
2002-05-08		Через старую дыру в MS Office до сих пор вытекают данные?
2002-05-16		Microsoft прихлопнула еще шестерых клопов
2002-10-18		ZIP — и вас сцапали

Обсуждение и комментарии

	old cobol programmer в отставке 15 Mar 2002 12:56 PM
тырят код потихоньку отовсюду гады я поглядел оно не GPL у них своя лицензия

	Qrot 15 Mar 2002 1:35 PM
так а кто не тырит-то? ткни пальцем, плз. опенсорс для того и существует что бы можно было код "тырить".

	Egres 15 Mar 2002 2:41 PM
2 Qrot: не тырить а заимствовать. Это 2 разные вещи. Но не надо после кричать что опен-сорс порочен и в то же время использовать часть кода. Никто не против того чтобы производители коммерческого софта использовал добротный код опен-сорс. Скорее всего многие крупные компании так и делают, но вот грязью зачем обливать. Не плюй как говорится в колодец....

	Qrot 15 Mar 2002 3:15 PM
2Egres: угу, я так и думал, что "заимстовать". назови как хочешь - суть не меняется. МС хаялась на ГПЛ, как я помню. zlib не под ГПЛ. так что претензии не обоснованные.

	Egres 15 Mar 2002 3:28 PM
2Qrot: знаеш у меня нет доказательств того, что МС включала исходный код из ПО распространяемого по ГПЛ лицензии, врать не буду, но и нет полной уверенности что они этого не делали.

	Qrot 15 Mar 2002 3:39 PM
2Egres: типа, не пойман, но вор? :))

	RoN - rodionlenta.ru 15 Mar 2002 3:53 PM
2 Qrot (оффтопик): Глянь-ка сюда : http://www.codeproject.com/useritems/ATL7ModuleHandle.asp Я плакалъ...

	Праграмист 15 Mar 2002 3:57 PM
Ага, я тоже помню, написал крутую программу "Хело Ворлд" называется. А они гады стырили и в VS.NET в качестве сампла захерачили.

	Egres 15 Mar 2002 4:06 PM
2Qrot: не в этом дело, ты понял и са прекрасно о чем я :-))

	Qrot 15 Mar 2002 5:25 PM
2RoN: а я решил с 3.0 не слезать :) пошли они нах со своими изменениями. тем более что я юзаю wtl, а с 7.0 я так понял будет несовместимость.

	RoN - rodionlenta.ru 15 Mar 2002 6:15 PM
2 Qrot: Я тоже решил на 3.0 оставаться. Ходил слух, что в марте выйдет WTL, совместимая с 7.0, но на мсовском боарде пыл быстро остудили - дескать продукт этот (WTL) официально не поддерживается, т.ч. выйдет он в марте, или в марте след. года, или вообще не выйдет - всё это вилами по воде писано.

	RoN - rodionlenta.ru 15 Mar 2002 6:17 PM
Но, Unsigned Char статью забодяжил почище чем на зднете. Такие статьи надо "Unsigned " подписывать :)

	Qrot 15 Mar 2002 7:47 PM
2RoN: я, честно, не вчитывался - конец недели все-таки. понял только, что родственник г. Бинеева писал и закрыл нах :)

	glassy 16 Mar 2002 3:18 AM
Я не думаю, что мелкосаксовцы поступают правильно в отношении ОС. По любому, в 90% случаев отличная от ГПЛ ОС лицензия подразумевает сохранение файлов AUTHORS и COPYING -- "...in all copies of the Software, it's documentation and marketing and publicity materials..."

	Null - kurantvologda.edu.ru 16 Mar 2002 4:01 PM
2glassy: наивное утверждение! Ну и че? Ну не правы они, и че? "Хороший, плохой... Главное -- у кого ружье!" (c) зловещие мертвецы

	glassy 17 Mar 2002 1:51 AM
Мда... не дотянуть тред до 300 постингов... :)

	Qrot 17 Mar 2002 2:06 AM
<offtopic> тут такой стишок встретил на анекдот.ру: Сон сисадмина Линукс, гадкий и склизкий, Глянцевит, страшен, бел, Лижет слоты и диски, Гложет кулер, пробел. Вспыхнет красным и черным, И потянется вдаль Жалом страшным, проворным Бычья туша - нетварь. А за лесом синеет, Сладко манит вдали Твою душу взлелеет Страшной сказкой - NT. </offtopic>

	Bravo 17 Mar 2002 3:46 AM
Хорошее начало - мочить МС за использование open-source. То то их черти в аду припекут!

← февраль 2002

11 12 13 14 15 18 19 20 21

апрель 2002 →