Algemeen voorkomende programmeerfout maakt software onveilig
Twee onderzoekers van Watchfire claimen een nieuwe methode ontwikkeld te hebben om in te breken in computers. Ze maken daarbij gebruik van de hangende verwijzingen die zich in veel software ophopen, meldt online-publicatie SearchSecurity.
Shutterstock
Shutterstock
De onderzoekers Jonathan Afek en Adi Sharabani deden hun ontdekking toen ze een webserver onder Microsofts IIS 5.1 onderworpen aan een beveiligings- en compliance-audit. Tijdens die check met het AppScan-tool van Watchfire crashte de geteste webserver. Al snel bleek een hangende verwijzing (dangling pointer) de oorzaak. Na enige experimenten bleek Afek en Sharabani dat ze de crash konden opwekken door de server te trakteren op een speciaal geconstrueerde webverwijzing. Vandaar naar het binnensmokkelen van code bleek maar een kleine stap. Overigens heeft Microsoft dit lek inmiddels gedicht in bulletin MS07-041 van de juli-patchronde.