Mayhem forscht nach Bugs in Software.
Mayhem forscht nach Bugs in Software. (Bild: Mayhem)

Automatisierte Bugsuche: 1.200 Crashes in Debian

Mit dem automatisierten Tool Mayhem sucht ein Forscherteam nach Bugs und möglichen Sicherheitslücken. Erstes Ergebnis: 1.200 Crash-Bugs in Debian.

Anzeige

Das Forscherteam von David Brumley von der Carnegie Mellon University hat 1.200 Bugs in Debian-Paketen gefunden, die zu Programmabstürzen führen. Nur wenige sind vermutlich Sicherheitsprobleme. Das Team hat per Debian-Mailingliste um Ratschläge gebeten, wie diese Menge an Fehlerberichten am besten ins Bug-Tracking-System einzutragen ist.

Die Fehlerberichte sind das Ergebnis eines Forschungsprojekts der Universität. Dort wurde das Tool Mayhem entwickelt, das automatisiert nach möglichen Abstürzen in Programmen sucht.

"Wir benutzen eine Technik, die sich Symbolic Execution nennt", erklärt Mayhem-Entwickler David Brumley auf Anfrage von Golem.de. "Soweit ich weiß, hat bisher niemand versucht, mit dieser Technik Zehntausende von Programmen zu untersuchen."

Mayhem simuliert den Ablauf von Programmen mit verschiedenen Eingaben durch die Kommandozeile und eingelesene Dateien und versucht dabei, Abstürze im Programm zu provozieren. Dabei arbeitet Mayhem mit Binärdateien und ist somit nicht auf den Quellcode der Programme angewiesen. Mayhem funktioniert mit Linux- und Windows-Programmen.

22.000 Programme getestet, 5.000 Bugs gefunden

Ein Absturz weist oft auf mögliche Sicherheitsprobleme hin. Doch von den gefundenen Bugs ist nur ein geringer Teil sicherheitsrelevant. Insgesamt, so Brumley, habe sein Team bisher etwa 22.000 Programme getestet und darin 5.000 Bugs gefunden. 53 davon seien Buffer Overflows, wovon fünf nach automatisierter Analyse einen Angriffsvektor bieten. Brumley weist allerdings darauf hin, dass die automatisierte Analyse nicht zwingend zuverlässig ist und sich auch hinter den anderen Fehlern Sicherheitsprobleme verbergen könnten.

Eine Veröffentlichung von Mayhem haben die Entwickler vorerst nicht geplant. Vorerst wolle das Team daran arbeiten, mit Hilfe von Mayhem Open-Source-Software robuster zu machen.

Die 1.200 Debian-Bugs sind dabei wohl nur ein erster Schritt. Neben dem Bericht an Debian haben die Mayhem-Entwickler die Fehler an die Autoren der betroffenen Programme selbst gesendet. Details wollen sie erst veröffentlichen, nachdem die Autoren zwei Wochen Zeit hatten, zu beurteilen, ob es sich möglicherweise um sicherheitsrelevante Fehler handelt. Bislang wurde lediglich eine Liste der betroffenen Pakete veröffentlicht.


nmSteven 03. Jul 2013

Die noch nicht gefundenen 1000 sind das

muhkuhmuhkuh 03. Jul 2013

Ja. Leider wissen die allermeisten Leute nicht, mit was sich Forschung in der Informatik...

The-Master 02. Jul 2013

+2!

IT.Gnom 02. Jul 2013

Das wäre auf jeden Fall interessanter. Aber ich denke dann schaltet MS die NSA ein. (Oh...

Kommentieren



Anzeige

  1. Head of Ad Management (m/w)
    Heise Medien GmbH & Co. KG, Hannover
  2. Teamleiter Webdesign (m/w)
    redblue Marketing GmbH, München
  3. Senior C/C++ Developer (m/w)
    ipoque GmbH, Leipzig
  4. Software-Entwickler/-in für Bildverarbeitung und sensorbasierte Sortieranlagen
    TOMRA Sorting Solutions über GiPsy® Beratungsgesellschaft für Personal und Organisation mbH, Mülheim-Kärlich

Detailsuche


Blu-ray-Angebote
  1. VORBESTELLBAR: Mad Max: Fury Road Sammleredition (3D-Steelbook & Interceptor-Modell) [3D Blu-ray] [Limited Edition]
    129,99€ (Vorbesteller-Preisgarantie)
  2. TIPP: 10 Blu-rays für 50 EUR (nur 5€ pro Film!)
    (u. a. Watchmen, Hulk, Ohne Limit, Iron Man 3, RED 2, Mission Impossible Phantom Protokoll, Hänsel...
  3. Planet 51 [Blu-ray]
    6,90€

Weitere Angebote


Folgen Sie uns
       


  1. Kaspersky Antivirus

    Sicherheitssoftware warnt vor Änderungen am Computer

  2. Supernerds

    Angst schüren gegen den Überwachungswahn

  3. O2-Netz

    Mobilfunkkunden von Kabel Deutschland gekündigt

  4. Landkreistag

    Warum der Bund den Glasfaserausbau nicht fördert

  5. Millionen Tonnen

    Große Mengen Elektronikschrott verschwinden aus Europa

  6. Autosteuerung

    Uber heuert die Jeep-Hacker an

  7. Contributor Conference

    Owncloud führt Programm für Bug-Bounties ein

  8. Flexible Electronics

    Pentagon forscht mit Apple und Boeing an Wearables

  9. Private Cloud

    Proxy für Owncloud soll Heimnutzung erleichtern

  10. Geheimdienste

    NSA kann weiter US-Telefondaten sammeln



Haben wir etwas übersehen?

E-Mail an news@golem.de



Until Dawn im Test: Ich weiß, was du diesen Sommer spielen solltest
Until Dawn im Test
Ich weiß, was du diesen Sommer spielen solltest
  1. Everybody's Gone to the Rapture im Test Spaziergang am Rande der Apokalypse
  2. Submerged im Test Einschläferndes Abenteuer
  3. Tembo the Badass Elephant im Test Elefant im Elite-Einsatz

Helium-3: Kommt der Energieträger der Zukunft vom Mond?
Helium-3
Kommt der Energieträger der Zukunft vom Mond?
  1. Stratolaunch Carrier Größtes Flugzeug der Welt soll 2016 erstmals starten
  2. Escape Dynamics Mikrowellen sollen Raumgleiter von der Erde aus antreiben
  3. Raumfahrt Transformer sollen den Mond beleuchten

20 Jahre im Einsatz: Lebenserhaltende Maßnahmen bei Windows 95
20 Jahre im Einsatz
Lebenserhaltende Maßnahmen bei Windows 95
  1. Windows-Insider-Programm Chrome hat Probleme mit Windows 10 Build 10525
  2. Internet Explorer Notfall-Patch für Microsofts Browser
  3. Microsoft Erster Insider-Build seit dem Erscheinen von Windows 10

  1. Re: Ganz einfache Antwort! :)

    marcel. | 00:27

  2. Re: Kündigungsfrist ?

    DWolf | 00:27

  3. Die Lanxessarena

    mikaso | 00:09

  4. Re: "E-Schrott" am besten bei ebay verkaufen

    Jocularous | 00:02

  5. Re: Problem ist die sich verbreitende Resignation

    LinuxNerd | 00:02


  1. 00:01

  2. 12:57

  3. 11:23

  4. 10:08

  5. 09:35

  6. 12:46

  7. 11:30

  8. 11:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel