Wat is een beveiligingsbug?
Een beveiligingsbug in computersoftware is een fout in zijn geprogrammeerde bewerking waarmee een gebruiker een onbedoelde toegang tot functies, bronnen of gegevens kan hebben die anders door het programma zouden worden beschermd. De oorzaak van een beveiligingsbug kan fouten in programmering bevatten, onjuist begrip van externe bibliotheken of toezicht bij het verplaatsen van een testversie van een programma naar een releaseversie. Het kan moeilijk zijn om een beveiligingsbug te diagnosticeren en te repareren, omdat het een combinatie kan zijn van verschillende aspecten van het programma, waarvan sommige vooraf zijn samengesteld zonder originele broncode die beschikbaar is voor programmeurs om te onderzoeken.
Een van de belangrijkste oorzaken voor een beveiligingsbug kan de interactie zijn tussen twee verschillende delen van computercode die mogelijk niet door dezelfde persoon zijn geschreven. Problemen kunnen ontstaan wanneer een functie of klasse acties uitvoert die onbekend of onverwacht zijn, zoals het wijzigen van een variabele die een deel van de programmatoestand bevat of de interne eigenlijke eigenschap verandertbanden zonder bijbehorende elementen op te stellen. Dit kan ertoe leiden dat andere delen van het programma op aannames werken, of om volledig te worden omzeild, waardoor een beveiligingsgat wordt gecreëerd dat kan worden benut. Externe bibliotheken ontwikkeld door commerciële softwarebedrijven kunnen soms een beveiligingsprobleem veroorzaken, vooral in gevallen zoals grafische gebruikersinterfaces (GUI's) en netwerkprotocolverpakkingen die een grote hoeveelheid verborgen verwerkingscode bevatten.
Andere redenen waarom er een beveiligingsbug kan bestaan, zijn onder meer eenvoudige programmeerfouten en problemen met geheugentoewijzing die codesegmenten kunnen overschrijven of informatie uit geheugen kunnen morsen naar gebieden waar deze kan worden benut. Onontwikkelde functies binnen een programma kunnen ook een beveiligingsbug veroorzaken door een voorwaarde binnen het programma toe te staan die de uitvoering zou kunnen doorgeven aan een onafgemaakte deel van de code zonder de juiste beveiligingscontroles voor invoer en uitvoer. De grotere en meerComplex een programma is, hoe hoger de kans dat een beveiligingsbug bestaat binnen de code.
Er zijn meerdere manieren om te proberen te voorkomen dat een beveiligingsbug doorgaat met versies van software voor definitieve release. Een van de belangrijkste is gebruikerstests, waarin veel mensen proberen het programma te gebruiken om te zien of het goed werkt. Software -profilers gebruiken - programma's die geheugengebruik en andere statistieken onderzoeken en vastleggen terwijl software wordt uitgevoerd - kunnen helpen om een aantal interne bugs te vangen die kunnen leiden tot een beveiligingsprobleem. Terwijl de bugs worden gevangen en gerepareerd, geven de meeste bedrijven updates of patches uit die de ontdekte bugs in software elimineren die al in distributie zijn.