Kritische Lücke in Compilern betrifft Mehrheit der Programmiersprachen
Quelle: Pexels/Rahul Pandit

Kritische Lücke in Compilern betrifft Mehrheit der Programmiersprachen

Forscher der Uni Cambridge haben einen Fehler in Compilern gefunden, der so gut wie alle Programmiersprachen betrifft und daher enorm gefährlich sein könnte. Die Lücke heisst Trojan Source.
2. November 2021

     

Sicherheitsforscher der Universität Cambridge haben einen Bug gefunden, der potenziell so gut wie jeglichen Code angreifbar macht. Der Fehler findet sich in den Compilern, also den Übersetzungsmaschinen, die von Menschen geschriebenen Code in Maschinensprache übersetzen. Es seien die meisten gängigen Compiler betroffen, wie es heisst. Die Forscher nennen den Bug Trojan Source und titeln ihr zugehöriges Paper der Studie (hier als PDF-Download) mit "Trojan Source: Unsichtbare Schwachstellen".


Dank des Bugs könnten Angreifer den Compiler so beeinflussen, dass der eigentlich in den Compiler gefütterte Code unbemerkt geändert und etwa für kriminelle Zwecke missbraucht werden kann. Die grösste Angst dabei ist, dass Trojan Source genutzt werden könnte, um Angriffe auf die weltweiten Lieferketten zu unternehmen, ähnlich den Solarwinds-Attacken ("Swiss IT Magazine" berichtete). Die Entdecker sprechen von einer "unmittelbaren Gefahr", die die meisten Programmiersprachen betrifft, weshalb die Gefahr für die ganze Industrie respektive Lieferkette entsprechend hoch sein dürfte. Das Forscherteam hat die betroffenen Hersteller kontaktiert, wie Ross Anderson, Professor für Computer Security in Cambridge und Mitverfasser der Studie, gegenüber "Krebs On Security" kommentierte. Während etwa die Hälfte reagiert und Patches versprochen hat, würden andere "auf sich warten lassen", so Anderson. (win)


Weitere Artikel zum Thema

Schwerwiegende Sicherheitslücke in Add-on für QTS auf NAS von Qnap

25. Oktober 2021 - Im Media-Streaming-Add-on von Qnaps Betriebssystem QTS klaffte eine schwerwiegende Sicherheitslücke, die nun durch ein Update geschlossen wurde.

Apple soll Warnungen für iOS Zero Days ignorieren

27. September 2021 - Wiederholt bekunden Sicherheitsexperten Probleme mit den Bug Bounty Program von Apple. Nun geht ein Forscher gar so weit, dass er seine gefundenen Sicherheitslücken publik macht – weil Apple offenbar einfach nicht reagiert.

Microsoft warnt vor aktiv ausgenützter Lücke in Office

9. September 2021 - Microsoft warnt aktuell vor einer Lücke, die es einem Angreifer erlaubt, Schadcode via ActiveX auszuführen. Die Lücke wird offenbar bereits ausgenutzt.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER