Un ataque de cadenas de formato

Cuando contamos los ataques de cadenas de formato siempre queda la sensación de que es algo del pasado, que ahora no tiene importancia: porque cada vez se programa menos en C, y porque como es algo ya sabido, no debería meterse la pata en eso.

La realidad es terca y nos sigue mostrando que aparecen este tipo de fallos: Elevación de privilegios en sudo (en multitud de distribuciones) .

El fallo, descubierto por joernchen del Phenoelit Groupoernchen, se encuentra en un error de formato de cadena en la función “sudo_debug de sudo.c”, a la hora de procesar el nombre del programa que se le pasa por parámetro.

Y, naturalmente, en los sitios más insospechados: ¿aseguramos todo nuestro programa de la misma manera? ¿Hay partes que nos preocupan menos?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s