ФБР и CISA сказали, что ошибки в программах, которые называются переполнением буфера, очень плохие. Они сказали, что разработчики должны перестать использовать старые и небезопасные способы написания программ. Эти ошибки делают продукты Microsoft, VMware и других компаний уязвимыми для кибератак.
Переполнение буфера случается, когда программа пишет слишком много данных в память, и это позволяет злоумышленникам принимать контроль над системой. Хотя способы исправления этих ошибок известны, они всё равно появляются в новых продуктах.
Недавно были обнаружены критические уязвимости, которые злоумышленники уже использовали для атак. Например, в Microsoft Hyper-V была уязвимость, позволяющая злоумышленникам повысить свои права, а в Ivanti Connect Secure можно было удаленно выполнять код. Также была уязвимость в VMware vCenter, где первая попытка исправить ошибку не сработала, и было еще несколько критических ошибок в Citrix и Linux.
ФБР и CISA сказали, что чтобы избежать таких проблем, нужно использовать безопасные языки программирования, такие как Rust, Go и Swift. Они также рекомендовали производителям постепенно модернизировать свои продукты.
Они также посоветовали использовать защитные механизмы в коде, такие как компиляторные флаги и инструменты, которые помогают выявлять ошибки управления памятью. И им также предложили тщательно тестировать код перед выпуском.
ФБР и CISA сказали, что безопасность должна быть важной частью разработки программного обеспечения, и что игнорирование этого правила может быть опасно для компаний и для национальной безопасности США.
