4.7. Gegenmaßnahme – Wrapper für fehleranfällige Bibliotheksfunktionen

Im Folgenden sollen zwei Laufzeitmechanismen in Form von Wrappern für fehleranfällige Bibliotheksfunktionen beschrieben werden, die in der Lage sind, die gezielte Ausnutzung einer vorhandenen Format-String-Schwachstelle unter bestimmten Umständen erfolgreich zu unterbinden.

4.7.1. Libformat

Libformat arbeitet nach dem gleichen Prinzip wie das bereits erwähnte Libsafe (siehe 2.9.1 Libsafe). So werden zunächst sämtliche Aufrufe solcher Bibliotheksfunktionen abgefangen, welche als potenzielle Problemfunktionen in Bezug auf Format-String-Schwachstellen gelten. Die abgefangenen Funktionsaufrufe werden dann hinsichtlich verschiedener Anzeichen überprüft, welche auf eine gezielte Ausbeutung einer Format-String-Schwachstelle hindeuten können. »When a program protected by libformat encounters a user specified format string in a writable segment that contains dangerous conversions (only %n at present), a message is logged to syslog and the process is sent the KILL signal.« (aus der Libformat ManPage). Um die Aufrufe solcher fehleranfälligen Funktionen erfolgreich abfangen zu können, bedient sich Libformat ebenfalls wie Libsafe der LD_PRELOAD-Umgebungsvariable.