CERT-Tool: Mit dem Zufall gegen Sicherheitslücken

Entwicklung Das Computer Emergency Response Team (CERT) der Carnegie Mellon University hat ein neues Framework veröffentlicht, dass bei der Erkennung und Beseitigung von Sicherheitslücken in Programmcode helfen soll. Das Basic Fuzzing Framework (BFF) verfügt über eine virtuelle Maschine, in der Linux läuft. Verschiedene Skripte nehmen sich in dieser den Code vor und versuchen eventuell vorhandene Bugs zu finden. Dabei bedienen sie sich der Methode des Fuzz-Testing.

Diese wird häufig von Sicherheitsforschern eingesetzt. Eine Applikation wird dabei mit einer großen Zahl an zufälligen Daten versorgt. Wird dieser an einer Stelle im Programm falsch verarbeitet, führt dies zur Rückgabe einer Fehlermeldung, zum Absturz oder anderen Problemen.

Der Entwickler kann dann nachvollziehen, durch welche Eingabe der Fehler an welcher Stelle aufgetreten ist und diese genauer unter die Lupe nehmen. Während diese Methode in der Security-Szene recht verbreitet ist, kommt sie in der herkömmlichen Entwicklung noch kaum zur Anwendung. Das soll sich nun ändern.

Das CERT hatte im vergangenen Jahr bereits eine andere Fuzz-Testing-Software namens Dranzer bereitgestellt. Mit dem Open Source-Tool lassen sich ActiveX-Controls auf diese Weise testen. Mit der Software hat das CERT bereits eine ganze Reihe von Problemen in ActiveX aufgedeckt, was Microsoft wiederum zu Verbesserungen am Internet Explorer veranlasste.
Diese Nachricht empfehlen
Kommentieren4
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

Tipp einsenden