| Buffer Overflow |
Format String Vulnerability |
|---|
| öffentlich seit Mitte der 80'er Jahre bekannt |
öffentlich seit Mitte 1999 bekannt |
| Gefahr jedoch erst Anfang der 90'er Jahre erkannt |
Gefahr erst Mitte 2000 erkannt |
| Mehrere Tausend Exploits für Buffer Overflows |
Mehrere Dutzend Exploits für Format String
Vulnerabilities |
| Weitgehendes Sicherheitsbewusstsein für Buffer Overflows,
besonders bei OSS |
Nahezu kein Sicherheitsbewusstsein bei kommerzieller Software,
geringes bei OSS |
| Sehr fortgeschrittene Exploit-Techniken (heap-overflows,
off-by-ones, framepointer-attacks, return-into-libc-,
GOT-, non-exec-stack-Techniken) |
Nur gering entwickelte Exploit-Techniken |
| Zum Teil sehr schwierig zu entdecken (Hallo OpenBSD Team ;-) |
Leicht zu entdecken (nahezu 100% automatisierbar) |