1
OS-Design / Formatstring
« am: 05. February 2012, 10:27 »
Hallo zusammen,
Angesichts der Formatstringattacken wollte ich fragen, wer in sein OS eig. eine komplette Implementation von printf() in seinem OS drin hat...
http://de.wikipedia.org/wiki/Formatstring-Angriff
Das Beispiel in Wikipedia ist Ok, aber nicht das Beste, ja auch über %i usw, der Stack ausgelesen werden kann,
und z.B. Stack-Canaries (die vll. später mal im Betriebssystem folgen werden) erkannt und bei einem Stackoverflow-Angriff wieder eingeschleusst werden können.
Hat sich darüber hier schon mal jemand Gedanken gemacht?
Denn mal ehrlich, wer von euch hat noch nie einen über die Tastatur eingelesen String über
Mfg
Lion
PS: Ich habe das ganze (VisualBasic-ähnlich) über writeLine(char*) und writeDecimal(int) usw. implementiert...
Angesichts der Formatstringattacken wollte ich fragen, wer in sein OS eig. eine komplette Implementation von printf() in seinem OS drin hat...
http://de.wikipedia.org/wiki/Formatstring-Angriff
Das Beispiel in Wikipedia ist Ok, aber nicht das Beste, ja auch über %i usw, der Stack ausgelesen werden kann,
und z.B. Stack-Canaries (die vll. später mal im Betriebssystem folgen werden) erkannt und bei einem Stackoverflow-Angriff wieder eingeschleusst werden können.
Hat sich darüber hier schon mal jemand Gedanken gemacht?
Denn mal ehrlich, wer von euch hat noch nie einen über die Tastatur eingelesen String über
Zitat
printf(buffer);ausgelesen, sonder benutzt immer
Zitat
printf("%s", buffer)?
Mfg
Lion
PS: Ich habe das ganze (VisualBasic-ähnlich) über writeLine(char*) und writeDecimal(int) usw. implementiert...