25 gefährliche Programmierfehler und wie man sie vermeidet

Mehr als 30 internationale Sicherheitsunternehmen verfassten gemeinsam eine Liste der 25 gefährlichsten Programmierfehler. Die in der Liste aufgezählten Fehler öffnen Tür und Tor für Datendiebstahl und -Missbrauch und sollen daher ausgemerzt werden.

Der Großteil der erwähnten Schwächen wäre den Programmierern gar nicht bewusst, heißt es in der Presseinformation des SANS-Instituts, das federführend bei dieser Arbeit war. Es werde in der Ausbildung weder gelehrt, wie man solche Fehler vermeidet, noch wie man sie aufspürt, heißt es weiter. Das zu ändern, ist das Ziel der Initiative. Langfristig soll Software zertifiziert werden, um Käufern mehr Sicherheit zu bieten. Zu jedem Fehler gibt es eine Beschreibung und Lösungsansätze, beziehungsweise eine Erklärung, wie man sie vermeidet. Eine übersichtliche Liste der Top 25 gibt es auf den Seiten von MITRE. Nur zwei unterschiedliche Fehler verursachten 2008 1,5 Millionen Web-Security-Verletzungen.

Die Arbeitsgruppe unterteilt die Programmierfehler in drei Kategorien:

• Unsichere Interaktionen von Komponenten
• Riskante Ressourcenverwaltung
• Unzuverlässiger Schutz

... deren Spitzenreiter wie folgt lauten:

• Unzureichendes Validieren von Eingaben
• Fehler, die zu einem Pufferüberlauf führen
• Mangelnde Zugriffskontrolle

Den Anstoß zu dieser Initiative gab die National Security Agency (NSA), finanziell unterstützt wurde sie durch die National Cyber Security Division des Department of Homeland Security (DHS). Geleitet wurde sie von den Instituten MITRE und SANS.

» Beitrag diskutieren (15 Kommentare)