Fernando Arnaboldi จาก IOActive ได้มีการเปิดเผยการค้นหาช่องโหว่ในอินเตอร์พรีเตอร์ที่ถูกใช้ในภาษาโปรแกรมมิ่งหลายภาษาที่งาน Black Hat Europe 2017 ที่ผ่านมาโดยใช้วิธีการ fuzzing ด้วย fuzzer ที่พัฒนาขึ้นเอง โดยได้ผลลัพธ์เป็นช่องโหว่ร้ายแรงในอินเตอร์พรีเตอร์หลายรายการ
สำหรับรายการของอินเตอร์พรีเตอร์ที่ถูกทดสอบนั้น ได้แก่
ตัวแทนจาก JavaScript ได้แก่ v8, ChakraCore, SpiderMonkey, NodeJS (v8), Node (ChakraCore)
ตัวแทนจาก PHP ได้แก่ PHP, HHVM
ตัวแทนจาก Ruby ได้แก่ Ruby, JRuby
ตัวแทนจาก Perl ได้แก่ Perl, ActivePerl
ตัวแทนจาก Python ได้แก่ CPython, PyPy, Jython
ด้วย fuzzer ที่พัฒนาขึ้นเองภายใต้ชื่อ XDiFF (Extended Differential Fuzzing Framework) Arnaboldi ค้นพบช่องโหว่หลายรายการที่อาจทำให้แอปพลิเคชันซึ่งถึงแม้ได้รับการพัฒนามาอย่างปลอดภัยแล้วก็อาจถูกโจมตีได้
สำหรับนักพัฒนาที่มีการใช้งานอินเตอร์พรีเตอร์อยู่ แนะนำให้ติดตามข่าวสารจากผู้พัฒนาเป็นระยะเพื่อตรวจสอบและติดตั้งแพตช์ด้านความปลอดภัยที่อาจมาถึงในเร็วๆ นี้
ที่มา : bleepingcomputer
You must be logged in to post a comment.