Een Microsoft-hulpprogramma dat een veiligheidslek in het .Net-platform moet dichten, blijkt kwetsbaar voor de aanvallen die het zou moeten voorkomen.
Dat hebben onderzoekers van de Amerikaanse it-beveiligingsspecialist Cigital ontdekt. Het gaat om Microsofts Visual C++.Net-compiler, die is ontworpen als een beveiliging tegen ‘buffer overrun’-aanvallen. Volgens Cigital kan deze compiler – een hulpprogramma dat een bronprogramma vertaalt in een uitvoerbaar programma – zelf het slachtoffer worden van dergelijke aanvallen. De compiler kan namelijk zodanig worden ingesteld dat een ‘security error handler’ in werking wordt gezet wanneer een potentiële aanval wordt uitgevoerd. De manier waarop deze beveiliging is geïmplementeerd, zorgt er volgens Cigital voor dat de code die met deze compiler is samengesteld, zeer kwetsbaar wordt voor ‘buffer overrun’-aanvallen.
Volgens Microsoft is er helemaal niets aan de hand. De softwareproducent uit Redmond beschuldigt Cigital van stemmingmakerij. Natuurlijk kan Microsoft dergelijke publiciteit nu niet gebruiken. Eerder deze week introduceerde het met veel toeters en bellen zijn Visual Studio .Net en nog geen maand geleden lanceerde Bill Gates het ‘Trustworthy Computing’-initiatief, dat erop is gericht de Microsoft-(internet)-technologie veel veiliger te maken.
