Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
Più della metà dei software open-source critici non usa codice memory-safe
Il 52% dei progetti open-source più “critici” per le organizzazioni non utilizza codice memory-safe: è quanto emerge da un report redatto da CISA, FBI, dall’Australian Cyber Security Centre, dall’Australian Signal Directorate e dal Canadian Centre for Cyber Security.
La definizione di “software critico” utilizzata per analizzare i 172 progetti del report è fornita dal NIST e sta a indicare tutti quei software che vengono eseguiti con privilegi elevati, che hanno accesso diretto o privilegiato alle risorse di rete o di computazione, che vengono usati per gestire l’accesso ai dati o a tecnologie operativi, che eseguono funzioni critiche per il business o che operano al di fuori dei normali confini di controllo con privilegi elevati.
Pixabay
L’analisi prosegue il lavoro svolto per “The case for Memory -Safe Roadmaps”, una pubblicazione che analizzava le vulnerabilità di memory-safety indicandole come la classe più diffusa di vulnerabilità software, in grado di pesare notevolmente sulle finanze aziendali.
In seguito a questo primo report, l’Office of the National Cyber Director della Casa Bianca ha richiesto ai programmatori di usare solo linguaggi di programmazione memory-safe, ovvero quei linguaggi che impediscono di utilizzare in maniera errata la memoria e introdurre bug legati a questo problema.
Un linguaggio memory-safe gestire la memoria al posto del programmatore per evitare che si verifichino allocazioni o utilizzi errati; un esempio classico è l’accesso all’n-esimo elemento di un array che contiene n-1 elementi. Linguaggi di programmazione memory-safe comprendono Rust, Go, C#, Java, Swift, Python e JavaScript; al contrario, linguaggi quali assembly, C, C++, Cython e D non sono memory-safe.
Dall’analisi è emerso non solo che più della metà dei progetti open source critici è scritta in linguaggi non memory-safe, ma anche che i progetti più estesi sono scritti in “maniera sproporzionata” con linguaggi unsafe: dei 10 progetti più grandi, in base al numero di linee di codice, tutti hanno una porzione di codice memory-unsafe che supera il 26%; per 4 di questi la percentuale supera il 94%.
Il problema non riguarda solo i progetti in sé, ma anche le loro dipendenze: di tre progetti memory-safe analizzati, ognuno di essi dipendeva da componenti terze scritte con linguaggi memory-unsafe.
Pixabay
Il report evidenzia che questi linguaggi vengono usati principalmente nei progetti in cui le performance e le limitazioni alle risorse sono fattori critici, come nei kernel e nei driver dei sistemi operativi, in software per la crittografia e in programmi di networking. “Può essere un investimento utile per la sicurezza aggiornare questi tipi di progetti con linguaggi memory-safe, e anche i nuovi progetti dovrebbero prendere in considerazione l’uso di linguaggi memory-safe. I recenti progressi consentono ai linguaggi di programmazione memory-safe, come Rust, di raggiungere le prestazioni dei linguaggi memory-unsafe” si legge nell’analisi.
Gli esperti di sicurezza ribadiscono l’importanza di usare linguaggi sicuri dal punto di vista della memoria e applicare i principi di sicurezza in fase di progettazione del software e scrittura di codice.
Condividi l'articolo
TeamViewer conferma: spie russe hanno hackerato la rete aziendale
Nuova vulnerabilità di MOVEit Transfer usata in tentativi di attacco
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
