Переполнение буфера в 2025? Позор для индустрии и угроза для всех

ФБР и CISA назвали уязвимости переполнения буфера «непростительными дефектами» и призвали разработчиков прекратить использовать устаревшие и небезопасные методы программирования. В совместном заявлении ведомства подчеркнули, что подобные ошибки приводят к критическим уязвимостям в продуктах Microsoft, VMware и других крупных производителей ПО, создавая серьёзные угрозы для кибербезопасности.

Переполнение буфера возникает, когда программа записывает больше данных, чем отведено в памяти, что позволяет злоумышленникам изменить поведение приложения, вызвать его сбой или получить контроль над системой. Несмотря на то, что эти ошибки давно изучены и методы их устранения широко известны, они продолжают появляться в современных продуктах.

В качестве примеров ФБР и CISA привели ряд недавно выявленных критических уязвимостей, которые уже использовались хакерами в реальных атаках. Среди них CVE-2025-21333 в Microsoft Hyper-V, которая позволяла локальным злоумышленникам повышать привилегии, а также CVE-2025-0282 в Ivanti Connect Secure, использованная для удалённого выполнения кода. Также упомянута уязвимость в VMware vCenter ( CVE-2024-38812 ), где первая попытка исправления оказалась неэффективной, а также ряд критических ошибок в Citrix и Linux, успевшие стать мишенью для атак.

Ведомства подчеркнули, что подобных проблем можно избежать, используя безопасные языки программирования, такие как Rust, Go и Swift. При этом они признали, что полный переход на такие языки требует значительных усилий, поэтому рекомендовали производителям ПО внедрять постепенный план модернизации.

Среди других рекомендаций — использование защитных механизмов в существующих кодовых базах, включая компиляторные флаги и инструменты типа AddressSanitizer и MemorySanitizer, помогающие выявлять ошибки управления памятью на этапе выполнения. Кроме того, предлагается проводить всестороннее тестирование, включая статический анализ, фаззинг и ручные проверки кода.

ФБР и CISA также посоветовали разработчикам анализировать корневые причины прошлых уязвимостей, чтобы исключить повторение подобных ошибок в будущем. Они подчёркивают, что безопасность должна быть заложена на всех этапах разработки ПО, а игнорирование этих требований угрожает не только отдельным компаниям, но и национальной безопасности США.