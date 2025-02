De FBI en het Amerikaanse cyberagentschap CISA hebben uitgehaald naar softwareleveranciers die in hun producten nog steeds buffer overflows hebben zitten. Dit zijn volgens de Amerikaanse overheidsdiensten 'onvergeeflijke fouten' die de nationale veiligheid van de VS in gevaar brengen en waar al twintig jaar allerlei oplossingen voor bestaan. Toch blijft er software op de markt komen met buffer overflows, wat in het ergste geval tot gecompromitteerde systemen kan leiden.

"Buffer overflow-kwetsbaarheden doen zich voor wanneer aanvallers informatie benaderen of schrijven naar het verkeerde deel van het computergeheugen, bijvoorbeeld buiten de geheugenbuffer", aldus de FBI en het CISA. In het ergste geval kan een aanvaller zo zijn eigen code op het systeem uitvoeren. De Amerikaanse overheidsdiensten stellen dat het gebruik van onveilige programmeer practices die tot buffer overflows kunnen leiden, met name het gebruik van 'memory unsafe' programmeertalen, een onacceptabel risico voor de nationale en economische veiligheid van de Verenigde Staten vormen.

In een vandaag verschenen 'Secure by Design Alert' roepen de FBI en het CISA softwareleveranciers op om bewezen mitigaties toe te passen om buffer overflows te voorkomen. Klanten moeten daarnaast veilige software eisen die over dergelijke mitigaties beschikken. In de waarschuwing geven de overheidsdiensten ook advies aan softwareleveranciers, zoals het gebruik van 'memory-safe' programmeertalen waar mogelijk, het grondig onderzoeken van de oorzaak van gevonden kwetsbaarheden en het uitvoeren van security-audits.

"De community van softwareontwikkelaars beschikt over twintig jaar aan uitgebreide kennis en effectieve oplossingen voor buffer overflows. Helaas blijven veel softwareleveranciers klanten aan producten met deze kwetsbaarheden blootstellen", aldus de FBI en het CISA (pdf).