Automatisierte Bugsuche: 1.200 Crashes in Debian

Mit dem automatisierten Tool Mayhem sucht ein Forscherteam nach Bugs und möglichen Sicherheitslücken. Erstes Ergebnis: 1.200 Crash-Bugs in Debian.

Artikel veröffentlicht am , Hanno Böck
Mayhem forscht nach Bugs in Software.
Mayhem forscht nach Bugs in Software. (Bild: Mayhem)

Das Forscherteam von David Brumley von der Carnegie Mellon University hat 1.200 Bugs in Debian-Paketen gefunden, die zu Programmabstürzen führen. Nur wenige sind vermutlich Sicherheitsprobleme. Das Team hat per Debian-Mailingliste um Ratschläge gebeten, wie diese Menge an Fehlerberichten am besten ins Bug-Tracking-System einzutragen ist.

Die Fehlerberichte sind das Ergebnis eines Forschungsprojekts der Universität. Dort wurde das Tool Mayhem entwickelt, das automatisiert nach möglichen Abstürzen in Programmen sucht.

"Wir benutzen eine Technik, die sich Symbolic Execution nennt", erklärt Mayhem-Entwickler David Brumley auf Anfrage von Golem.de. "Soweit ich weiß, hat bisher niemand versucht, mit dieser Technik Zehntausende von Programmen zu untersuchen."

Mayhem simuliert den Ablauf von Programmen mit verschiedenen Eingaben durch die Kommandozeile und eingelesene Dateien und versucht dabei, Abstürze im Programm zu provozieren. Dabei arbeitet Mayhem mit Binärdateien und ist somit nicht auf den Quellcode der Programme angewiesen. Mayhem funktioniert mit Linux- und Windows-Programmen.

22.000 Programme getestet, 5.000 Bugs gefunden

Ein Absturz weist oft auf mögliche Sicherheitsprobleme hin. Doch von den gefundenen Bugs ist nur ein geringer Teil sicherheitsrelevant. Insgesamt, so Brumley, habe sein Team bisher etwa 22.000 Programme getestet und darin 5.000 Bugs gefunden. 53 davon seien Buffer Overflows, wovon fünf nach automatisierter Analyse einen Angriffsvektor bieten. Brumley weist allerdings darauf hin, dass die automatisierte Analyse nicht zwingend zuverlässig ist und sich auch hinter den anderen Fehlern Sicherheitsprobleme verbergen könnten.

Eine Veröffentlichung von Mayhem haben die Entwickler vorerst nicht geplant. Vorerst wolle das Team daran arbeiten, mit Hilfe von Mayhem Open-Source-Software robuster zu machen.

Die 1.200 Debian-Bugs sind dabei wohl nur ein erster Schritt. Neben dem Bericht an Debian haben die Mayhem-Entwickler die Fehler an die Autoren der betroffenen Programme selbst gesendet. Details wollen sie erst veröffentlichen, nachdem die Autoren zwei Wochen Zeit hatten, zu beurteilen, ob es sich möglicherweise um sicherheitsrelevante Fehler handelt. Bislang wurde lediglich eine Liste der betroffenen Pakete veröffentlicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
E-Mail-Clients für Android
Kennwörter werden an App-Entwickler übermittelt
artikel-bild
Google
Chromebooks bekommen "Linux-VMs" und "Terminal"
artikel-bild
Sicherheit
Tails 2.11 und 3.0 Beta2 freigegeben
Meistgelesen
artikel-bild
Disney+, Netflix und Prime Video
Das goldene Streamingzeitalter wird zum silbernen
artikel-bild
Zbox Pico PI430AJ
Flotter Mini-PC mit Solid-State-Kühlung
artikel-bild
Kernfusion
US-Fusionslabor erreicht konsistent Zündungen
Kommentarübersicht
Re: NSA
nmSteven 03. Jul 2013

Die noch nicht gefundenen 1000 sind das

Re: Ist es üblich, ...
muhkuhmuhkuh 03. Jul 2013

Ja. Leider wissen die allermeisten Leute nicht, mit was sich Forschung in der Informatik...

Re: Schoen nur ...
The-Master 02. Jul 2013

+2!

Re: au ja...vorher aber noch gegen die windows...
IT.Gnom 02. Jul 2013

Das wäre auf jeden Fall interessanter. Aber ich denke dann schaltet MS die NSA ein. (Oh...

Aktuell auf der Startseite von Golem.de
Whistleblower
Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen

Wieder hat sich in den USA ein ehemals hochrangiger Militär und Beamter über Kontakte mit Aliens geäußert.

Whistleblower: Ehemaliger US-Konteradmiral äußert sich zu Außerirdischen
Artikel
  1. Schadstoffnorm 7: Neue Grenzwerte für Abrieb gelten auch für E-Autos
    Schadstoffnorm 7
    Neue Grenzwerte für Abrieb gelten auch für E-Autos

    Die neue Euronorm 7 legt nicht nur Grenzwerte für Bremsen- und Reifenabrieb fest, sondern auch Mindestanforderungen für Akkus.

  2. Ramjet: General Electric testet Hyperschalltriebwerk
    Ramjet
    General Electric testet Hyperschalltriebwerk

    Das Triebwerk soll Flüge mit Mach 5 ermöglichen.

  3. Elektroautos: Mercedes und Stellantis übernehmen komplette Umweltprämie
    Elektroautos
    Mercedes und Stellantis übernehmen komplette Umweltprämie

    Nach dem abrupten Aus der staatlichen Förderung springen erste Hersteller von Elektroautos ein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Last-Minute-Angebote bei Amazon • Avatar & The Crew Motorfest bis -50% • Xbox Series X 399€ • Cherry MX Board 3.0 S 49,95€ • Crucial MX500 2 TB 110,90€ • AVM FRITZ!Box 7590 AX + FRITZ!DECT 500 219€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /