"Ripple20" erschütterte im Juni dieses Jahres (nicht nur) das Internet der Dinge: In einem TCP/IP-Stack für Embedded-Geräte wurden 19 Schwachstellen gefunden, die nach Einschätzung ihrer Entdecker "hunderte von Millionen" Geräte betrafen. Stack-Analysen eines anderen Forscherteams haben nun mittels Fuzzing, dabei handelt es sich um eine Variante automatisierter Software-Tests, sowie mittels statischer Code-Analysen 33 neue Schwachstellen aufgedeckt, von denen drei als kritisch eingestuft wurden.

Der Unterschied zu Ripple20 ist, dass die Schwachstellen aus der "Amnesia:33"-Sammlung nicht nur den Code eines einzigen Stacks betreffen. Auf vier von insgesamt sieben analysierten TCP/IP-Stack-Implementierungen verteilt sich die "Amnesia:33"-Sammelung. Dabei handelt es sich im Einzelnen um die Stacks uIP, Nut/Net, picoTCP und FNET.

Da es sich bei den verwundbaren Stacks ausnahmslos um (modularen) Open-Source-Code handelt, ist die Eingrenzung betroffener Unternehmen und Produkte extrem schwierig. Erschwerent dazu kommt, dass manchem Gerätehersteller gar nicht zwingend bewusst ist, dass zugekaufte Komponenten von Drittherstellern den verwundbaren Code nutzen.

(hv, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE