Tre ricercatori di sicurezza tedeschi hanno lanciato un’iniziativa battezzata Month of PHP Bugs (MOPB) che durante il mese di marzo divulgherà le falle, vecchie e nuove, contenute nella celebre piattaforma open source PHP.
Invece che sulle vulnerabilità del linguaggio che rendono insicure le applicazioni PHP, i tre ricercatori hanno preferito concentrarsi sulle falle che interessano Zend Engine, PHP core e le relative estensioni. Tali falle potranno essere inedite, e dunque ancora prive di patch, oppure già note: in quest’ultimo caso verranno riproposti bug che, seppure già corretti, sono ancora bersaglio prediletto dei cracker.
“La nostra iniziativa ha lo scopo di migliorare la sicurezza di PHP”, si legge sul sito di MOPB. “Indicheremo anche i cambiamenti necessari all’attuale processo di gestione delle vulnerabilità adottato dal PHP Security Response Team”.
L’iniziativa MOPB si ispira ai progetti MOAB , MOKB e MOBB lanciati negli scorsi mesi dal celebre bug hunter Kevin Finisterre, ma a differenza di questi si focalizzerà esclusivamente sui problemi di PHP e non si limiterà a divulgare una sola falla al giorno. Ad esempio, nei primi quattro giorni del mese, MOPB ha già pubblicato 9 advisory: la maggior parte descrive falle già corrette nelle più recenti versioni di PHP.
Secondo quanto riportato dal celebre sito sulla sicurezza Security Focus , il 43% dei bug divulgati lo scorso anno sono stati scoperti in applicazioni scritte in PHP.
Ti potrebbe interessare
5 mar 2007