Luki bezpieczństwa w Visual Studio 6

Programiści pracujący na platformie Visual Studio 6 są narażeni na infekcję jeśli zdecydują się na udostępnienie plików z projektami w sieci, bądź pobiorą pliki projektu z nieznanego źródła.

Problem pojawia się w aplikacjach Visual Basic i Visual InterDev, które podatne są na błąd przepełnienia buforu w momencie przetwarzania pliku projektu, dzięki czemu możliwe jest zaaplikowanie dowolnego kodu. W Visual Basicu wspominany błąd pojawia się, gdy wartość pól ConnectionName i CommandName jest zbyt długa, w Visual InterDev natomiast po przepełnieniu pola Project. Na chwile obecną nie istnieje żadne rozwiązanie zaistniałego problemu i za pewne nie szybko się pojawi, gdyż wadliwy Visual Basic i Visual InterDev mają już ponad 10 lat, przez co zgłaszane błędy nie są obsługiwane w trybie w jakim obsługuje się zgłoszenia usterek nowych produktów. Jedynym sposobem na ominięcie błędu jest ograniczenie dostępu do plików z projektami przez niepowołane osoby oraz nie otwieranie plików z projektami pochodzącymi z nieznanych źródeł. Jeśli zajdzie już taka potrzeba, przed uruchomieniem takiego projektu, zaleca się wyedytowanie go w dowolnym edytorze tekstowym i zbadanie długości wspomnianych pól.

Kod wspominanego exploita w Visual Basicu 6.0 EE SP6 znaleźć można tutaj, natomiast w Visual InterDev 6.0 SP6 dostępny jest tutaj.