Mayhem forscht nach Bugs in Software.
Mayhem forscht nach Bugs in Software. (Bild: Mayhem)

Automatisierte Bugsuche: 1.200 Crashes in Debian

Mit dem automatisierten Tool Mayhem sucht ein Forscherteam nach Bugs und möglichen Sicherheitslücken. Erstes Ergebnis: 1.200 Crash-Bugs in Debian.

Anzeige

Das Forscherteam von David Brumley von der Carnegie Mellon University hat 1.200 Bugs in Debian-Paketen gefunden, die zu Programmabstürzen führen. Nur wenige sind vermutlich Sicherheitsprobleme. Das Team hat per Debian-Mailingliste um Ratschläge gebeten, wie diese Menge an Fehlerberichten am besten ins Bug-Tracking-System einzutragen ist.

Die Fehlerberichte sind das Ergebnis eines Forschungsprojekts der Universität. Dort wurde das Tool Mayhem entwickelt, das automatisiert nach möglichen Abstürzen in Programmen sucht.

"Wir benutzen eine Technik, die sich Symbolic Execution nennt", erklärt Mayhem-Entwickler David Brumley auf Anfrage von Golem.de. "Soweit ich weiß, hat bisher niemand versucht, mit dieser Technik Zehntausende von Programmen zu untersuchen."

Mayhem simuliert den Ablauf von Programmen mit verschiedenen Eingaben durch die Kommandozeile und eingelesene Dateien und versucht dabei, Abstürze im Programm zu provozieren. Dabei arbeitet Mayhem mit Binärdateien und ist somit nicht auf den Quellcode der Programme angewiesen. Mayhem funktioniert mit Linux- und Windows-Programmen.

22.000 Programme getestet, 5.000 Bugs gefunden

Ein Absturz weist oft auf mögliche Sicherheitsprobleme hin. Doch von den gefundenen Bugs ist nur ein geringer Teil sicherheitsrelevant. Insgesamt, so Brumley, habe sein Team bisher etwa 22.000 Programme getestet und darin 5.000 Bugs gefunden. 53 davon seien Buffer Overflows, wovon fünf nach automatisierter Analyse einen Angriffsvektor bieten. Brumley weist allerdings darauf hin, dass die automatisierte Analyse nicht zwingend zuverlässig ist und sich auch hinter den anderen Fehlern Sicherheitsprobleme verbergen könnten.

Eine Veröffentlichung von Mayhem haben die Entwickler vorerst nicht geplant. Vorerst wolle das Team daran arbeiten, mit Hilfe von Mayhem Open-Source-Software robuster zu machen.

Die 1.200 Debian-Bugs sind dabei wohl nur ein erster Schritt. Neben dem Bericht an Debian haben die Mayhem-Entwickler die Fehler an die Autoren der betroffenen Programme selbst gesendet. Details wollen sie erst veröffentlichen, nachdem die Autoren zwei Wochen Zeit hatten, zu beurteilen, ob es sich möglicherweise um sicherheitsrelevante Fehler handelt. Bislang wurde lediglich eine Liste der betroffenen Pakete veröffentlicht.


nmSteven 03. Jul 2013

Die noch nicht gefundenen 1000 sind das

muhkuhmuhkuh 03. Jul 2013

Ja. Leider wissen die allermeisten Leute nicht, mit was sich Forschung in der Informatik...

The-Master 02. Jul 2013

+2!

IT.Gnom 02. Jul 2013

Das wäre auf jeden Fall interessanter. Aber ich denke dann schaltet MS die NSA ein. (Oh...

Kommentieren



Anzeige

  1. Entwicklungsingenieur Funktionsentwicklung (m/w) für elektrifizierte Fahrzeuge
    TKI Automotive GmbH, Ingolstadt, Gaimersheim
  2. Datenbankentwickler / Datenanalyst (m/w)
    BIVAL GmbH, Ingolstadt
  3. Professional Services Engineer (m/w)
    NetApp Deutschland GmbH, Neu-Isenburg
  4. Produktsoftware-Entwickler/-- in
    Robert Bosch GmbH, Schwieberdingen

 

Detailsuche


Top-Angebote
  1. TIPP: 4 Blu-rays für 30 EUR
    (u. a. Die Unfassbaren, Escape Plan, RED 2, Braveheart, Fast & Furious 6, Titanic)
  2. TIPP: PS4-Spiele reduziert
    (u. a. GTA V 42,33€, Project CARS 43,79€, Tamriel Unlimited 43,79€, Alien: Isolation Ripley...
  3. NEU: Games-Downloads Angebote
    (u. a. Assassin's Creed: Liberation HD 3,39€, Child of Light inkl. 7 DLCs 29,95€, Driver San...

 

Weitere Angebote


Folgen Sie uns
       


  1. Microsoft

    Viele werden Windows 10 noch nicht am 29. Juli erhalten

  2. App

    Mastercard will Gesichtsscans durchführen

  3. Jaunt Neo

    Lichtfeldkamera für 360-Grad-Videos geplant

  4. Computer

    Dell braucht 100 Beschäftigte mehr in Halle

  5. Grafikkarte

    Auch Fury X rechnet mit der Mantle-Schnittstelle flotter

  6. Apple Music

    iCloud verpasst der eigenen Musik einen Kopierschutz

  7. Ex-Minister Pofalla

    NSA-Affäre war doch nicht beendet

  8. Grüne

    Rechtsanspruch auf Breitband soll 12 Milliarden Euro kosten

  9. Überwachung

    BND-Akten zeigen die Sorglosigkeit deutscher Diplomaten

  10. Management

    Intel-Präsidentin tritt zurück und Mobile-Chef muss gehen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Xperia Z4 Tablet im Test: Dünn, leicht und heiß
Xperia Z4 Tablet im Test
Dünn, leicht und heiß
  1. First Flight Sony stellt Crowdfunding-Plattform für eigene Ideen vor
  2. Android-Entwicklung Sony bietet Android-M-Vorschau für Xperia-Geräte an
  3. Android Recovery Mode jetzt offiziell für Sony-Smartphones verfügbar

Protokoll: DNSSEC ist gescheitert
Protokoll
DNSSEC ist gescheitert

Pebble Time im Test: Nicht besonders smart, aber watch
Pebble Time im Test
Nicht besonders smart, aber watch
  1. Smartwatch Pebble Time kostet außerhalb von Kickstarter 250 Euro
  2. Smartwatch Apple gibt iOS-App für die Pebble Time frei
  3. Smartwatch Pebbles iOS-App wird von Apple nicht freigegeben

  1. Re: Apple - die zur Zeit frustrierendste Marke

    fluppsi | 09:46

  2. Re: Geistige Behinderung

    daarkside | 09:44

  3. Re: Super Idee ... erm ... Moment da war doch was!

    AllAgainstAds | 09:43

  4. Re: Unöffenbare tür?

    bazoom | 09:42

  5. Re: Sorry aber ...

    fluppsi | 09:41


  1. 09:44

  2. 09:09

  3. 08:26

  4. 07:42

  5. 06:07

  6. 00:09

  7. 23:14

  8. 18:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel