Власти США назвали уязвимости, связанные с переполнением буфера, «непростительными дефектами» и указали на наличие таких уязвимостей в продуктах компаний Microsoft и VMware. ФБР и Агентство по кибербезопасности и защите инфраструктуры (CISA) призвали разработчиков программного обеспечения внедрять методы обеспечения безопасности по умолчанию.
Уязвимости переполнения буфера возникают, когда программа записывает больше данных, чем выделено, что позволяет злоумышленникам перехватывать управление и выполнять вредоносные действия.
В опубликованных рекомендациях обе организации отметили, что эти уязвимости можно избежать, если разработчики откажутся от устаревших методов программирования.
Среди выявленных уязвимостей — несколько критических ошибок от Microsoft и VMware, которые использовались злоумышленниками до выхода исправлений. В частности, уязвимость CVE-2025-21333 в Microsoft Hyper-V может позволить злоумышленнику получить права SYSTEM, а CVE-2024-38812 в VMware vCenter приводит к удалённому выполнению кода.
ФБР и CISA подчеркнули, что использование небезопасных языков программирования, таких как C и C++, представляет риск для национальной безопасности.
Они рекомендуют переходить на безопасные для памяти языки, такие как Rust, Go и Swift, а также внедрять поэтапные планы перехода на новые технологии.
Кроме того, власти советуют использовать специальные флаги компилятора для защиты и проводить агрессивное тестирование продуктов на протяжении всего жизненного цикла разработки.