Uncontrolled format string is a type of software vulnerability, discovered around 1999, that can be used in security exploits. Previously thought harmless, format string exploits can be used to crash a program or to execute harmful code. The problem stems from the use of unchecked user input as the format string parameter in certain C functions that perform formatting, such as .

PropertyValue
dbpedia-owl:abstract
  • Uncontrolled format string is a type of software vulnerability, discovered around 1999, that can be used in security exploits. Previously thought harmless, format string exploits can be used to crash a program or to execute harmful code. The problem stems from the use of unchecked user input as the format string parameter in certain C functions that perform formatting, such as . A malicious user may use the and format tokens, among others, to print data from the stack or possibly other locations in memory. One may also write arbitrary data to arbitrary locations using the format token, which commands and similar functions to write the number of bytes formatted to an address stored on the stack.
  • Der Begriff Formatstring-Angriff beschreibt das Ausnutzen einer Sicherheitslücke, welche im Jahr 1999 von Przemysław Frasunek und tf8 entdeckt wurde. Der erste Exploit, der diese Technik ausnutzte, erlaubte es einem Angreifer, die Kontrolle über wu-ftpd 2.6.0 zu übernehmen. Formatstring-Attacken können genutzt werden, um ein Programm zum Absturz zu bringen oder fremden Code auszuführen. Das Problem rührt von der Benutzung ungefilterter Benutzereingaben in bestimmten C-Funktionen her, wie, welche für die Ausgabe formatierten Textes zuständig sind. Ein bösartiger Benutzer könnte zum Beispiel die Formatierungstoken %s und %x benutzen, um sich Daten vom Stack ausgeben zu lassen. Mit dem %n-Token lässt sich die Anzahl der ausgegebenen Zeichen an eine beliebige Stelle im Speicher schreiben. Diese Schwachstelle ist weit verbreitet, da man Formatierungsfehler früher für harmlos gehalten hat. Am häufigsten tritt sie auf, wenn ein Programm Eingaben des Benutzers wieder ausgeben soll und der Programmierer anstelle von schreibt. Bei der ersten Version wird als ein String mit Formatierungstoken interpretiert. Bei der zweiten Version hingegen wird einfach der Eingabestring ausgegeben. Diese Art von Fehlern kann nur auftreten, da Unterprogrammaufrufe in C nicht typsicher sind und eine variable Anzahl von Parametern zugelassen wird, ohne dass eine Überprüfung erfolgt, ob Anzahl und Typ der gelesenen Parameter denen der übergebenen Parameter entsprechen.
  • Le format string attack (vulnerabilità di formato della stringa) sono una classe di vulnerabilità scoperte nel 1999.
  • 書式文字列攻撃(しょしきもじれつこうげき、英: Format string attack)は、1999年ごろ発見された(それまでは無害と考えられていた)セキュリティホールを利用した攻撃のクラスである。書式文字列攻撃は、プログラムをクラッシュさせたり、不正なコードを実行させたりできる。
  • Format string attack – atak informatyczny, będący stosunkowo nową techniką wykorzystywania błędów programistycznych w aplikacjach. Błędnie napisana aplikacja może być przy wykorzystaniu tej techniki usunięta z listy procesów przez system operacyjny (tzw. crash) lub zmuszona do wykonania kodu dostarczonego przez napastnika.
dbpedia-owl:wikiPageExternalLink
dbpedia-owl:wikiPageID
  • 532607 (xsd:integer)
dbpedia-owl:wikiPageInLinkCount
  • 32 (xsd:integer)
dbpedia-owl:wikiPageOutLinkCount
  • 30 (xsd:integer)
dbpedia-owl:wikiPageRevisionID
  • 473114972 (xsd:integer)
dbpprop:hasPhotoCollection
dcterms:subject
rdf:type
rdfs:comment
  • Uncontrolled format string is a type of software vulnerability, discovered around 1999, that can be used in security exploits. Previously thought harmless, format string exploits can be used to crash a program or to execute harmful code. The problem stems from the use of unchecked user input as the format string parameter in certain C functions that perform formatting, such as .
  • Der Begriff Formatstring-Angriff beschreibt das Ausnutzen einer Sicherheitslücke, welche im Jahr 1999 von Przemysław Frasunek und tf8 entdeckt wurde. Der erste Exploit, der diese Technik ausnutzte, erlaubte es einem Angreifer, die Kontrolle über wu-ftpd 2.6.0 zu übernehmen. Formatstring-Attacken können genutzt werden, um ein Programm zum Absturz zu bringen oder fremden Code auszuführen.
  • Le format string attack (vulnerabilità di formato della stringa) sono una classe di vulnerabilità scoperte nel 1999.
  • 書式文字列攻撃(しょしきもじれつこうげき、英: Format string attack)は、1999年ごろ発見された(それまでは無害と考えられていた)セキュリティホールを利用した攻撃のクラスである。書式文字列攻撃は、プログラムをクラッシュさせたり、不正なコードを実行させたりできる。
  • Format string attack – atak informatyczny, będący stosunkowo nową techniką wykorzystywania błędów programistycznych w aplikacjach. Błędnie napisana aplikacja może być przy wykorzystaniu tej techniki usunięta z listy procesów przez system operacyjny (tzw. crash) lub zmuszona do wykonania kodu dostarczonego przez napastnika.
rdfs:label
  • Uncontrolled format string
  • Formatstring-Angriff
  • Format string attack
  • 書式文字列攻撃
  • Format string attack
owl:sameAs
http://www.w3.org/ns/prov#wasDerivedFrom
foaf:isPrimaryTopicOf
is dbpedia-owl:wikiPageDisambiguates of
is dbpedia-owl:wikiPageRedirects of
is owl:sameAs of
is foaf:primaryTopic of