Aggiornamenti recenti Settembre 10th, 2025 4:02 PM
Ago 31, 2022 Redazione news News, RSS, Vulnerabilità 0
I ricercatori della Johns Hopkins University hanno recentemente scoperto ben 180 vulnerabilità zero-day analizzando migliaia di librerie Node.js. Per farlo hanno utilizzato un nuovo strumento chiamato ODGEN, presentato all’Usenix Security Symposium di quest’anno.
Come spiegano gli autori del progetto, Node.js è una popolare piattaforma JavaScript che fornisce pacchetti utili ma talvolta anche vulnerabili. Lavori precedenti hanno proposto molti approcci basati sull’analisi dei programmi per rilevarne le vulnerabilità, come l’iniezione di comandi e l’inquinamento dei prototipi, ma sono specifici per un singolo problema e non sono generalizzabili.
D’altro canto, lavori precedenti su C/C++ e PHP hanno proposto approcci basati su query a grafo, come il Code Property Graph (CPG), per estrarre in modo efficiente le vulnerabilità, ma non sono direttamente applicabili a JavaScript a causa dell’ampio uso di caratteristiche dinamiche del linguaggio.
I ricercatori hanno quindi sviluppato una nuova struttura a grafo chiamata Object Dependence Graph (ODG) che rappresenta gli oggetti JavaScript come nodi e aggiunge caratteristiche specifiche del linguaggio di programmazione, tra cui le dipendenze tra gli oggetti, per poi cercare gli errori.
Hanno quindi implementato un prototipo di sistema open source, chiamato ODGEN, per generare ODG per programmi Node.js e rilevare le vulnerabilità.
Il sistema ha segnalato correttamente 180 vulnerabilità zero-day, di cui 70 sono state inserite nel Common Vulnerabilities and Exposures, o CVE (in italiano Vulnerabilità ed esposizioni comuni), il dizionario di riferimento delle vulnerabilità e falle di sicurezza note pubblicamente. La ricerca è disponibile a questo collegamento.
Giu 19, 2025 0
Ott 29, 2024 0
Ago 08, 2024 0
Lug 03, 2024 0
Set 10, 2025 0
Set 09, 2025 0
Set 08, 2025 0
Set 08, 2025 0
Ago 29, 2025 0
Il prossimo 14 ottobre terminerà ufficialmente il supporto...Ago 26, 2025 0
Il mondo dell’IoT rimane uno dei più esposti alle...Ago 04, 2025 0
I chatbot basati su modelli linguistici di grandi...Lug 29, 2025 0
Tra le minacce più recenti che stanno facendo tremare il...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Set 10, 2025 0
Google dovrà pagare una multa salata da 425 milioni per...Set 09, 2025 0
I ricercatori di Arctic Wolf hanno scoperto GPUGate, una...Set 08, 2025 0
I ricercatori di Security Bridge hanno scoperto che una...Set 08, 2025 0
La scorsa settimana il CERT-AGID ha rilevato 79 campagne...Set 05, 2025 0
Il governo degli Stati Uniti sta offrendo fino a 10...