Obwohl Entwickler inzwischen über ein gestiegenes Sicherheitsbewusstsein verfügen, passieren bei der Softwareentwicklung immer wieder Fehler, die dazu führen, dass Anwendungen von außen angreifbar sind. Der „Faktor Mensch“ führt dazu, dass es keine fehlerfreie Software gibt. Während Abstürze und Memory-Leaks ärgerlich und zuweilen auch teuer sind, bedeuten Sicherheitslücken, dass Cyberkriminelle den Firmenserver für ihre Zwecke nutzen.
Viele Softwareentwicklungsunternehmen versuchen heutzutage, das Problem durch Fuzzing in den Griff zu bekommen. Fuzzing funktioniert immer noch nach einer Art Zufallsprinzip. Es ist nahezu zwei Jahrzehnte alte Technik für Software-Tests. Hierfür werden mittels Tools automatisch zufällige Daten erzeugt, die über Eingabeschnittstellen eines Programms verarbeitet werden, also etwa durch das Öffnen einer Datei, deren Datenformat das jeweilige Programm unterstützt.
Fuzzing wird in Software-Entwicklungsprojekten meist im Rahmen eines Black-Box-Tests durchgeführt, um neue Software auf Fehleranfälligkeit zu prüfen und um eventuelle Sicherheitslücken aufzuspüren. Bekanntere Tools aus der IT-Welt sind etwa AxMan, FTP Stress Fuzzer oder File Fuzz.
Das gängige Prinzip ist das folgende: Verursacht das Programm bei bestimmten Daten ein Problem, etwa einen Systemabsturz, so lässt sich darauf aufbauend, anhand von White-Box-Tests, die Ursache erforschen und die Fehlerquelle eingrenzen. Wird beispielsweise ein Browser von einer Website mit einer JPEG-Datei beliefert, die bewusst ein ungültiges Format hat, beobachtet man, wie der Browser darauf reagiert.
Im Idealfall untersucht der Browser die Datei und verweigert die Anzeige. Im schlimmsten Fall lässt sich durch das ungültige JPEG-Bild Code auf dem Rechner des Betrachters ausführen. Bei zufällig generierten ungültigen Daten endet es meist in einem Absturz, da die Bytes, die möglicherweise die Rücksprungadresse eines Unterprogramms überschreiben, zu keiner sinnvollen Programmablauffolge führen. Gezielt manipulierte Bilder können hingegen einen Zugang zum Rechner schaffen.
Unternehmen setzen auf dieses Analyse- und Testverfahren, weil es als relativ preisgünstig gilt. Open-Source-Lösungen sind kostenlos verfügbar. Das Aufsetzen eines automatisierten Tests geschieht schnell und benötigt wenig Aufmerksamkeit durch einen Tester. Der Wettbewerb auf dem Markt ist oft so groß, dass zeit- und kostenintensivere Alternativen zum Prinzip „Trial and Error“ nicht in Frage kommen. Oftmals wird Fuzzing erst unmittelbar in der Testphase vor dem Launch eines neuen Produkts eingesetzt.
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…