Проблемы в инструменте защиты ITS4

Дата публикации:
21.02.2002
Дата изменения:
17.10.2006
Всего просмотров:
983
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: ITS4 инструмент для автоматизирования проверки исходного кода на безопасность, который статически просматривает исходный C и C++ текст для обнаружения потенциальных уязвимостей защиты.

В документации для ITS4 сказано, делаются некоторые попытки для более детального анализа кода. Это осуществляется через дополнительные обработчики, определенные для некоторых функций. Например, если sprintf() вызывается с установленной форматной строкой, программа считает что конструкция не уязвима к стандартному нападению форматной строки.

Конструкция ITS4 не обнаруживает некоторые формы уязвимого кода. Примеры основаны на предположении, что постоянные значения являются безопасными. Например, обращение к функциям strcpy() или sprintf() со статически определенной строкой считается безопасным, как и длина, передаваемая при обращении к strncpy().

Также сообщалось, что база данных в ITS4 не охватывает некоторые проблематичные Windows специфические вызовы функции. Проблема не является уязвимостью сама по себе. Проблема - слабость в дизайне ITS4, которая приводит к ложному смыслу защиты. Восприятие защиты на уровне транслятора вводит в заблуждение некоторых программистов, использующих опасные методы программирования.

Ссылки: Пример неопределяемой уязвимости
Источник

или введите имя

CAPTCHA