Seit 1972 sind Buffer-Overflow-Angriffe verstanden, und doch dominieren Pufferüberläufe bis heute die Warn-Listen von Security-Spezialisten. Ein Plädoyer für das Einhalten von Coding-Standards, mehr und bessere Sourcecode-Reviews sowie den Gebrauch guter Tools zur statischen Analyse.

Verschiedene Formen von Pufferüberläufen sind keine seltenen Schwachstellen, diesmal wurden sie in Methoden der PHP-Zip-Klasse entdeckt.

Ein Programmierfehler ermöglicht einen Buffer Overflow – und der das Ausführen beliebiger Kommandos mit nicht erteilten Rechten. Glücklicherweise funktioniert das nur unter speziellen Umständen.

Mozilla hat kürzlich in zahlreichen Advisories auf korrigierte Sicherheitslücken in Firefox, Seamonkey und Thunderbird hingewiesen. Hier hat eine Reihe von Programmierfehlern zur Folge, dass ein entfernter Angreifer Befehle mit den Berechtigungen des Anwenders ausführen kann. Zudem ist er in...

Sicherheitslücken in PHP und PHP-SQLite haben zur Folge, dass ein entfernter Angreifer Befehle mit höheren Rechten ausführen oder Sicherheitsabfragen umgehen kann. Die Schwachstelle in PHP wird durch einen Programmierfehler in der Funktion "_php_stream_scandir()" in der Datei...

In Apache Open Office sind mehrere Sicherheitslücken aufgetaucht, die es einem entfernten Angreifer erlauben, Befehle mit den Rechten des Anwenders auszuführen. Die Ursache ist ein Integer-Overflow-Fehler. Dieser befindet sich in der Datei "vclmi.dll" und lässt sich mit Hilfe einer geschickt...

Wie das IT-Sicherheitsunternehmen LSE vor kurzem meldete, findet sich eine kritische Sicherheitslücke in den PAM Python Bindings (PyPam). Laut Advisory ist ein entfernter Angreifer dadurch in der Lage, Befehle mit höheren Rechten auszuführen. PyPam kommt häufig zum Einsatz, da es im Vergleich...

Die Font-Engine Freetype wurde kürzlich in Version 2.4.9 veröffentlicht, die zahlreiche Sicherheitslecks vorheriger Versionen schließt. Unter anderem wurden folgende Schwachstellen in der neuen Version korrigiert: Buffer (Stack und Heap) Overflows beim Verarbeiten von zahlreicher Schriftarten...

Im Linux-Kernel sind kürzlich zwei Integer-Overflow-Schwachstellen entdeckt worden. Diese haben zur Folge, dass entfernte und lokale Angreifer Befehle mit Kernel-Rechten ausführen können.Erster Integer Overflow: XFS-ACL-Zähler Wie Xi Wang in seinem Blog berichtet, findet sich ein Integer...

In Google Chrome sind kürzlich mehrere Schwachstelle korrigiert worden. Ein entfernter Angreifer wäre durch die Sicherheitslücken in der Lage, Befehle mit den Rechten des Anwenders auszuführen. Die Attacken sind durch geschickt konstruierte Websites möglich. Im Einzelnen handelt es sich um die...

Im Smartcard-Support von Qemu ist eine Sicherheitslücke entdeckt worden, die es einem lokalen Angreifer erlaubt, höhere Rechte zu erlangen und Denial-of-Service-Attacken durchzuführen. Die Schwachstelle befindet sich in der Implementierung des Passthru-Protokolls, welches über VSCard (Virtual...

Digitale Signaturen spielen heute insbesondere bei Web-Applikationen eine große Rolle. Darum hat das W3C (World Wide Web Consortium) schon vor längerer Zeit eine Arbeitsgruppe zu XML-Signaturen eingesetzt. Die dort spezifizierten Standards werden vom Projekt Apache Santuario als Java- und C++...

Die freie Bürosuite Libre Office einen Vielzahl von Dokumentenformaten importieren. In den Routinen zum Verarbeiten von Lotus-Word-Pro-Dateien ("*.lwp") ist eine Sicherheitslücke entdeckt worden, über die in entfernter Angreifer unter Umständen Befehle mit den Rechten des Anwenders ausführen...

Im Telefonie-Server Asterisk sind erneut einige Schwachstellen beim Verarbeiten von SIP-Paketen entdeckt worden. Ein Angriff ist mit geschickt konstruierten SIP-Anfragen möglich, wodurch ein Buffer-Overflow ausgelöst wird. Damit kann ein entfernter Angreifer Speicherbereiche manipulieren und...

Das Mozilla-Projekt hat vergangene Woche gleich mehrere Advisories herausgegeben, um auf verschiedene kürzlich entdeckte Sicherheitslücken in Firefox und Thunderbird hinzuweisen. Bei den meisten dieser Schwachstellen handelt es sich um Fehler im Speichermanagement und Overflow-Fehler. Ein...