Fortify entdeckt neuartige Sicherheitslücke in Open-Source-Anwendungen

Die Fortify Security Research Group hat eine neue Software-Schwachstelle namens "Cross-Build-Injection“ identifiziert. Die neue Art von Sicherheitslücke wurde von Fortify Software in Zusammenarbeit mit dem Projekt Java Open Review erkannt, das Lösungen zur Identifikation und Beseitigung von sicherheitskritischen Software-Schwachstellen anbietet. Fortify spezifiziert die Schwachstellenklasse in einem öffentlichen Whitepaper auf seiner Webseite. Der zehnseitige Bericht mit dem Titel "Attacking the Build through Cross-Build-Injection" kann gratis auf fortifysoftware.com bezogen werden. Das neue Sicherheitsleck wurde vor allem durch die Verbreitung von Software-Systemen zur gemeinsamen Verwaltung von Code ermöglicht. Sie erlauben die Wiederverwendung und Kompilierung von Quellcode in kollaborativen Umgebungen. Fortify hat sich auf Sicherheit für offene Anwendungen spezialisiert und mehr als 100 Open-Source-Projekte analysiert. Bislang konnten dabei 494 Schwachstellen aufgedeckt werden.