Эксперты Check Point использовали ошибку в программном языке Perl для взлома популярного сервиса отслеживания ошибок Bugzilla.
Исследователи безопасности из Check Point Software Technologies использовали уязвимость , обнаруженную ими в программном языке Perl, для компрометации популярной системы отслеживания ошибок Bugzilla. В рамках эксперимента специалисты добавили четыре учетные записи в группу администраторов, наделив их привилегиями просмотра информации о нераскрытых уязвимостях.
Ход атаки был подробно описан в конфиденциальном отчете исследователей, который был обнародован лишь 6 октября. Согласно документу, в Check Point использовали новый класс ошибок, позволяющий «обмануть базу данных пользователей Bugzilla».
«Это не SQL-инъекция, а нечто относительно новое, - подчеркнул исследователь Шахар Тал (Shahar Tal). - Это часть исследований, которые мы проводили в течение нескольких месяцев, изучая определенную проблему в Perl. Bugzilla является хорошим примером и образцом, подводящим итог нашей работы, но это не единственный сервис, который оказался уязвимым к нашим атакам».
По его словам, брешь затрагивает программные продукты не менее чем 150 крупных разработчиков открытого ПО — начиная от Mozilla с OpenOffice и заканчивая Red Hat, а также ядром Linux. Все эти программы используют уязвимый код, предназначенный для отслеживания ошибок.
Ознакомиться с отчетом Check Point можно здесь .
Гравитация научных фактов сильнее, чем вы думаете