CERT-Tool: Mit dem Zufall gegen Sicherheitslücken

Entwicklung Das Computer Emergency Response Team (CERT) der Carnegie Mellon University hat ein neues Framework veröffentlicht, dass bei der Erkennung und Beseitigung von Sicherheitslücken in Programmcode helfen soll. Das Basic Fuzzing Framework (BFF) verfügt über eine virtuelle Maschine, in der Linux läuft. Verschiedene Skripte nehmen sich in dieser den Code vor und versuchen eventuell vorhandene Bugs zu finden. Dabei bedienen sie sich der Methode des Fuzz-Testing.

Diese wird häufig von Sicherheitsforschern eingesetzt. Eine Applikation wird dabei mit einer großen Zahl an zufälligen Daten versorgt. Wird dieser an einer Stelle im Programm falsch verarbeitet, führt dies zur Rückgabe einer Fehlermeldung, zum Absturz oder anderen Problemen.

Der Entwickler kann dann nachvollziehen, durch welche Eingabe der Fehler an welcher Stelle aufgetreten ist und diese genauer unter die Lupe nehmen. Während diese Methode in der Security-Szene recht verbreitet ist, kommt sie in der herkömmlichen Entwicklung noch kaum zur Anwendung. Das soll sich nun ändern.

Das CERT hatte im vergangenen Jahr bereits eine andere Fuzz-Testing-Software namens Dranzer bereitgestellt. Mit dem Open Source-Tool lassen sich ActiveX-Controls auf diese Weise testen. Mit der Software hat das CERT bereits eine ganze Reihe von Problemen in ActiveX aufgedeckt, was Microsoft wiederum zu Verbesserungen am Internet Explorer veranlasste.
Diese Nachricht empfehlen
Kommentieren4
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 15:50 Uhr 3D VR Brille, TURATA Virtuelle Realität Glasses, VR Headset Kompatibel mit allen 3.5-6.0' IOS Android Handys
3D VR Brille, TURATA Virtuelle Realität Glasses, VR Headset Kompatibel mit allen 3.5-6.0' IOS Android Handys
Original Amazon-Preis
22,99
Im Preisvergleich ab
?
Blitzangebot-Preis
16,98
Ersparnis zu Amazon 26% oder 6,01
Nur bei Amazon erhältlich

Video-Empfehlungen

Tipp einsenden