Schrott des Tages, VirtualDJ führt Code aus, der in ID3-Tags von MP3-Dateien steht. Das ist schon eine ziemlich beachtliche Leistung, einen buffer overflow beim Einlesen eines Arrays aus einer Datei zu bauen, dessen Länge direkt davor steht. So schwierig ist der malloc
(oder für postinkrementiertes C: der new
, wenn man nicht gleich ein std::vector
nimmt) dann ja nicht mehr. Einmal ganz davon abgesehen, dass die Progger dieses Linker-Flag nicht zu kennen schienen, mit dem man dafür sorgt, dass Daten nicht durch die CPU ausführbar sind. Also… ja, dieses hier. Als ich vor ca. zwei Jahren das letzte Mal ein Wischuäl Studio gesehen habe, war dieses Flag jedenfalls standardmäßig an. Aber es gibt bestimmt einen total guten Grund, so eine Schutzvorrichtung nicht zu aktiveren. Grottenschlechten Code zum Beispiel, der dann Probleme bereiten würde, den man aber doch lieber nicht mehr anfassen möchte, um die Probleme mal zu beheben.
Schlagwort Buffer Overflow RSS
-
Nachtwächter
-
Nachtwächter
Bug des Tages: Ein Buffer-Overflow in cURL, weil der Programmierer eine Zeichenkette
strcpy
undstrcat
zusammengesetzt hat. Und ich habe doch wirklich geglaubt, dass inzwischen auch beim Letzten angekommen ist, dass die C-Standardbibliothek gefährlich sein kann. Und für einenman strncat
hats mal wieder nicht gereicht… -
Nachtwächter
Dieser Versuch, aus dem einst so schlanken und schmalen Firefox eine allmächtige Gottanwendung zu machen, kostet eben auch seinen Preis. Zum Beispiel, dass ein Angreifer mit einer bösartig präparierten Webseite eine beliebige Anwendung beim Surfer starten kann. Kommt doch bitte mal von diesen kranken Ideen der Weltherrschaft durch Software herunter und seht zu, dass die Software nützlich, fehlerfrei, schlank und sicher bleibt – denn spotte ich auch nicht mehr darüber.