新しい ODGen ツールが Node.js ライブラリで 180 のゼロデイを発見 from darkreading.com

ジョンズ・ホプキンス大学の研究者は最近、ODGen と呼ばれる目的のために特別に開発した新しいコード分析ツールを使用して、何千もの Node.js ライブラリにわたって驚くべき 180 のゼロデイ脆弱性を発見しました。
これらの脆弱性の一部は、広く使用されているアプリケーションに見られます。
プログラム分析ベースのアプローチは、JavaScript のコード インジェクションの欠陥など、個々の脆弱性の種類を検出するのに役立つことが証明されています。
しかし、グラフベースのアプローチは、JavaScript の脆弱性のマイニングにはそれほど効率的ではありません。
「次に、ツールはグラフでそのようなパターンを探し、脆弱性を見つけます」
ODGen が検出した複数 (80 件) の確認済みの脆弱性は、攻撃者が脆弱なアプリケーションを介してオペレーティング システム レベルで任意のコードを実行できるコマンド インジェクション フローでした。