In der Standard-I/O-Bibliothek des freien Betriebssystems FreeBSD haben die Entwickler einen Programmierfehler behoben. In der Bibliothek stdio stellt der Fehler unter Umständen eine gefährliche Sicherheitslücke dar, da Angreifer einen Pufferüberlauf auslösen und damit auch beliebigen Schadcode zur Ausführung bringen könnten.

Der Angreifer kann mit dem Programm, welches die Bibliothek aufruft, festlegen, mit welchen Rechten sein Code ausgeführt wird. stdio wird als Low-Level-Bibliothek von sehr vielen Programmen eingesetzt.

Mitarbeiter der Sicherheitsfirma Norse haben diese Lücke gefunden. Sie haben dieses Problem vertraulich an die FreeBSD-Entwickler gemeldet und halfen bei der Entwicklung eines Patches. Ein Fix für die Lücke, die FreeBSD 10.1 betrifft, wurde bereits verteilt und kann über die Update-Funktion des Betriebssystems installiert werden. Die Quell-Dateien zum manuellen Patchen von stdio stehen auch bereit und können über die Links im Advisory von FreeBSD heruntergeladen werden.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE