Angriffsmöglichkeit in PHP

PHP, die verbreitete Skriptsprache für Internet-Anwendungen, hat eine Sicherheitslücke, die Angreifer ausnutzen können, um einen PC anzugreifen und unerwünschten Code auszuführen.

Der Fehler liegt in der Funktion "xml_utf8_decode()". PHP versäumt es, die UTF8-Eingaben, die ein Nutzer macht, genau genug zu prüfen. Betroffen ist die aktuelle PHP-Version 5.3.3. Securityfocus zufolge können Angreifer dieses Verhalten ausnutzen, um unerwartete Eingaben zu machen. Vorhandene Mechanismen der Input-Validierung lassen sich so umgehen und potenziell schädlicher Code einschleusen. Gelingt eine solche Attacke, kann der Angreifer den betroffenen Rechner unter seine Kontrolle bringen.

Abhilfe gibt es bereits: Die Entwickler haben die betroffenen Sourcen verbessert und den Fehler behoben.