La directive fédérale interdit aux vendeurs de logiciels d’expédition avec de tels défauts, et signale récemment Microsoft, et Ivanti Zero-Days comme exemples.
Le FBI et la CISA ont émis un avis conjoint pour avertir les développeurs de logiciels contre les codes du bâtiment avec des vulnérabilités de débordement de tampon, les appelant des erreurs «impardonnables».
Étiqueter l’avis dans le cadre de leurs efforts en cours «sécurisé par conception», les autorités ont déclaré que ces vulnérabilités étaient répandues dans les logiciels, y compris des fournisseurs comme Microsoft, VMware et Ivanti, qui conduisent à un compromis complet du système.
«La CISA et le FBI soutiennent que l’utilisation de pratiques de développement de logiciels dangereuses qui permettent la persistance de vulnérabilités de débordement de tampon – en particulier l’utilisation de langages de programmation de la mémoire et de la mémoire – présente un risque inacceptable pour notre sécurité nationale et économique», ont déclaré les autorités.
Le défaut de débordement de tampon est une vulnérabilité de la sécurité de la mémoire qui découle d’une lecture de programme ou d’écriture de la mémoire au-delà des limites allouées en ne parvenant pas à initialiser la mémoire correctement.
Les bogues de débordement de tampon sont impardonnables
« La CISA et le FBI reconnaissent que les vulnérabilités de la sécurité de la mémoire englobent un large éventail de problèmes – dont beaucoup nécessitent un temps et des efforts considérables pour résoudre correctement », a ajouté l’avis. «Bien que tous les types de vulnérabilités de sécurité de la mémoire puissent être évitées en utilisant des langages sûrs de mémoire pendant le développement, d’autres atténuations ne peuvent aborder que certains types de vulnérabilités de sécurité mémoire.»
L’avis a souligné que les défauts de débordement de tampon sont des vulnérabilités bien compris et sont facilement évitables en utilisant des langues sécurisées en mémoire. Il a également énuméré des techniques supplémentaires pour aider à résoudre ces problèmes.
Malgré les correctifs «bien documentés», les vulnérabilités de débordement de tampon sont assez répandues, a souligné la CISA. «Pour ces raisons – ainsi que l’exploitation des dégâts de ces défauts peut provoquer – CISA, FBI et autres (1) désignent les vulnérabilités de débordement de tampon comme des défauts impardonnables.»
Les fabricants sont invités à se référer aux méthodes décrites dans le PDF alerte émis avec l’avis d’empêcher et d’atténuer les défauts de débordement de tampon, et les utilisateurs de logiciels sont invités à leur demander des produits sécurisés qui incluent ces prévention.
Microsoft, VMware, Ivanti Flaws appelé
Le gouvernement fédéral a mis en évidence une liste des bogues de débordement de tampon affectant les principaux fournisseurs comme Microsoft, Ivanti, VMware, Citrix et Redhat, allant de la gravité élevée à la gravité critique, et certains ont déjà des exploits dans la volonté.
La liste comprenait deux défauts Microsoft qui pourraient permettre – les attaquants locaux dans des environnements basés sur les conteneurs pour gagner des privilèges système (CVE-2025-21333), et l’escalade des privilèges sur le pilote de système de fichier journal commun (CLF) qui pourrait conduire à un accès système complet (CVE-2024-49138). Ce dernier a été récupéré par des acteurs de la menace pour un exploit zéro-jours et a reçu une note CVSS de 7,8 / 10.
Le plus critique dans la liste est un défaut VMware vcentre (CVE-2024-38812) que Broadcom a dû brancher pour la deuxième fois en mois après avoir admis que le premier correctif n’a pas complètement résolu le problème. La faille était un problème de débordement de tas dans une implémentation du protocole DCERPC (Environnement informatique distribué / Call de procédure distante) du serveur VCenter.
Un autre défaut essentiel (CVSS 9/10) répertorié dans l’avis est le bug de stack-overflow dans Connect Secure d’Ivanti (CVE-2025-0282) que le fabricant de logiciels informatiques a fixé en janvier après avoir été exploité dans des attaques zéro-jour. Bien que historiquement dépendant des langues de codage vulnérables comme C et C ++, tous ces fournisseurs se déplacent progressivement vers des langues sécurisées comme Rust, Go, Swift et Python.
