Overslaan en naar de inhoud gaan

Software onveilig door ‘dangling pointers’

De onderzoekers Jonathan Afek en Adi Sharabani deden hun ontdekking toen ze een webserver onder Microsofts IIS 5.1 onderworpen aan een beveiligings- en compliance-audit. Tijdens die check met het AppScan-tool van Watchfire crashte de geteste webserver.
Al snel bleek een hangende verwijzing (dangling pointer) de oorzaak. Na enige experimenten konden Afek en Sharabani de crash opwekken door de server te trakteren op een speciaal geconstrueerde webverwijzing.
Business
Shutterstock
Shutterstock

Het binnensmokkelen van code bleek vervolgens maar een kleine stap. Overigens heeft Microsoft dit lek gedicht in bulletin MS07-041 van de juli-patchronde.
Hangende verwijzingen komen heel veel voor in software, soms als gevolg van programmeerfouten, maar vaker omdat programmeurs als ze een object of module verwijderen vergeten de verwijzingen ernaar te verwijderen of niet weten te vinden.
Tot nog toe meende men dat hangende verwijzingen niet te misbruiken zijn omdat je daarvoor de exacte locatie moest kennen waarnaar die pointer verwijst. Na hun hack besloten Afek en Sharabani die veronderstelling te testen.Zij menen nu dat alle applicaties met hangende verwijzingen in principe kwetsbaar zijn voor het binnensmokkelen van code.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in