Laut einer neuen Studie (immunix.org/…) des Oregon Graduate Institute of Science & Technology (OGI; www.cse.ogi.edu), finanziert durch die Defense Advanced Research Projects Agency, ist ein „Buffer Overflow“ das größte Sicherheitsproblem im Internet. „Buffer Overflows sind seit zehn Jahren die häufigste Form von Sicherheitslücken“, erklärt das OGI in der Studie.
Bei einem Buffer Overflow überflutet ein Angreifer ein Feld – zumeist eine Adreßzeile – mit mehr Daten, als dieses verkraften kann. Unter den Daten können sich auch Befehle befinden, die dem Angreifer Zugang auf den zugemüllten Rechner geben, ohne daß die Schutzvorrichtungen des PCs oder Servers überhaupt zum Zuge kommen.
Alan Paller, Direktor des System Administration, Networking and Security Institute (SANS; www.sans.org) appellierte mittlerweile an die Programmierer-Gilde, ihre Produkte mit vergleichsweise einfachen Befehlen für den Umgang mit überlangen Datensätzen zu rüsten. Das allein könne das Problem beheben.
„Es läßt sich alles auf einen einzigen nachlässigen Programmierer zurückführen“, sagte Paller. „Er schreibt ein Programm, bittet jemanden um Input, gibt ihm Platz für eine bestimmte Menge an Daten, vergißt aber zu überprüfen, ob das Programm auch mehr aushält. Damit ist er inkompetent und wird zum Problem. Ein einziger Kerl, der diesen Fehler macht, verschafft dem Rest der Programmierer einen Haufen Arbeit.“
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.