Programm sagt Sicherheitslücken in Browsern voraus.

  • Auf der ACM, einer der wichtigsten Sicherheits-Konferenzen, die Anfang November in Virginia stattfindet, wird ein Algorithmus Programm Namens Vulture vorgestellt. Das Programm wurde am Saarbrücker Lehrstuhl für Softwaretechnik entwickelt und lies schon von sich bei Fachkollegen aufhorchen als es im Januar vermutete Sicherheitslücken in Quellcodedateien genannt hatte. Tatsächlich wurden in den Monaten darauf welche gefunden und behoben. In letzter Zeit wurde es vor allem an Mozilla erprobt. Dazu verweisen die Advisories auf bestimmte Stellen in der Bugzilla-Datenbank.
    Den genauen Artikel könnt ihr in dem nächsten ct Magazin auf Seite 52 unten nachlesen. Da ist auch eine Grafik zu sehen die anzeigt wo anfällige Sicherheitslücken in Mozilla lauern.

    Hw

  • Holzwurm stellte dar:

    Zitat

    [...]Das Programm [...]Vulture[...], wurde am Saarbrücker Lehrstuhl für Softwaretechnik entwickelt und lies schon von sich bei Fachkollegen aufhorchen als es im Januar vermutete Sicherheitslücken in Quellcodedateien genannt hatte. Tatsächlich wurden in den Monaten darauf welche gefunden und behoben.[...]


    Solche sogenannten Universal-Problem-Behebungsprogramme sind mittlerweile bereits - im Zuge von software-unterstützenden Bewertungsparameterlisten - innerhalb der Netzwerk-Sicherheiten - teilweise schon realisiert worden und zwar mit dem ernüchternden Ergebnis, dass so eine Sicherheits-Bewertungssoftware eigentlich nur auf bedingt verwertbare Resultate, bezüglich der möglichen zukünftigen Sicherheitslücken schliessen und somit leider keine wirkliche Hilfe gegenüber zukünftiger Sicherheitslücken darstellen kann.

    So eine Fehler-Gewichtungs-Bewertungs-Software kann, nach meinen bisherigen Erfahrung, bloss auf bereits eingespeiste Erfahrungslisten/Datenbanken/Blacklists zurückzugreifen, über welche sie dann erst in der Lage wäre, statistisch (mit einer ungefähren Ausschussrate von 75% !!!, siehe Link unten) auf zukünftige Fehler zu schliessen, bzw. auf diese verweisen zu können.

    So eine Evaluation (Fehler-Bewertungs-Ratio) ist, meiner Ansicht nach, jedoch absolut inakzeptabel und kommt somit noch nicht einmal in die Nähe des Begriffes einer sinnvollen, wenn auch vorerst groben System-Bewertungs-Unterstützung.

    Sogenannte "Predicting-Vulnerable-Software-Components Systeme" werden meiner Ansicht nach auch in der Zukunft nicht in einem angemessen Verhältniss "sicherheits-unterstützend" wirksam sein können.


    http://www.st.cs.uni-sb.de/publications/f…us-ccs-2007.pdf


    Oliver