Программное обеспечение передает потоки данных, как между своими компонентами, так и в другое ПО, базы данных, файловые системы и различные веб-службы. Часто это происходит посредством сериализации – перевода структуры данных в последовательность байтов, и десериализации – наоборот, создания структуры данных из последовательности байтов. Отсутствие или недостаточная проверка этих данных может стать серьезной уязвимостью, ее называют «небезопасная десериализация».
Злоумышленники, эксплуатируя эту уязвимость, могут вызвать отказ в обслуживании, загрузить вредонос, а также удаленно выполнить собственный код на пользовательских устройствах и корпоративных серверах и получить к ним доступ. В результате появляется риск кражи конфиденциальных данных и денег со счетов жертвы.
«Новые киберриски - вечный спутник новых технологий. Вместе с распространением ПО, созданного с применением продвинутых инструментов, например, управляемых языков программирования, расширяется и перечень угроз, направленных на эти технологии. Уязвимость небезопасной десериализации актуальна для большинства популярных языков, таких как Java, C#, C/C++, Python, Ruby, ASP.NET, PHP. Обычно в современных библиотеках, как встроенных в ядро языка, так и сторонних, присутствуют различные механизмы по устранению этой уязвимости. Но на деле разработчики часто забывают ими воспользоваться или недостаточно прорабатывают исходный код, особенно, если сказывается недостаток опыта в написании безопасных программ», - сказал Алексей Кулаев, ведущий вирусный аналитик «Лаборатории Касперского».