Vulnerabilidades
Vulnerabilidade de string de formato
Também conhecido como: Bug de formato printf
Definição
Falha causada por passar entrada controlada pelo utilizador como string de formato em funções tipo printf, permitindo leitura ou escrita arbitrária de memória.
Exemplos
- CVE-2000-0573 (wu-ftpd): string de formato em site exec, root remoto.
- Routers embebidos que registam diretamente em syslog campos controlados pelo atacante.
Termos relacionados
Corrupção de memória
Termo abrangente para vulnerabilidades em que um programa escreve fora dos limites previstos, comprometendo segurança de tipos, fluxo de controlo ou integridade de dados.
Secure Coding
Secure Coding — definition coming soon.
Buffer overflow
Falha de segurança de memória em que um programa escreve para além do fim de um buffer alocado, corrompendo memória adjacente e permitindo frequentemente execução de código.
Vulnerabilidade
Fraqueza em um sistema, aplicação ou processo que um atacante pode explorar para comprometer confidencialidade, integridade ou disponibilidade.
Exploit
Pedaço de código, dados ou técnica que tira partido de uma vulnerabilidade para causar comportamento indesejado, como execução de código, escalada de privilégios ou divulgação de informação.
SAST (Static Application Security Testing)
Análise automatizada de código-fonte, bytecode ou binários — sem executar — para encontrar fraquezas de segurança como injeção, APIs inseguras ou criptografia fraca.