Im Bemühen, die Sicherheit des Open-Source-Ökosystems zu stärken, hat das auf sichere Entwicklung und Compiler spezialisierte Unternehmen AdaCore vor kurzem eine Reihe von…

Entwickler von der Universität des Saarlandes haben den Vulkan Clang Compiler (kurz Vcc) angekündigt.

Das Unternehmen Ferrous Systems will in Kürze Ferrocene, seinen Rust-Compiler für sicherheitskritische Anwendungen und Cybersicherheit, als Open-Source-Projekt veröffentlichen. Die Lizenzen Apache-2.0 oder MIT sollen zum Einsatz kommen.

Ferrocene bildet den Rust-Compiler “rustc” ab, Ferrous Systems hat diesen aber qualitätsgeprüft und qualifiziert für den Einsatz in Automobil- und Industrieumgebungen (derzeit gemäß ISO 26262 und IEC 61508). Der Compiler ist dem Rust-Projekt als Downstream angeschlossen, um Tests und Qualität auf bestimmten Plattformen weiter zu verbessern, teilt das Unternehmen mit. In den kommenden Wochen sollen weitere Informationen zu den Komponenten und Änderungen in Ferrocene veröffentlicht werden. Man habe zwei Jahre am Compiler gearbeitet und sei nun bereit, ihn verfügbar zu machen – aber auch vollständig quelloffen, teilt Ferrous Systems mit.

Weiter heißt es, dass man für Ferrocene auch kostenpflichtige vorgefertigte Binärdateien anbieten werde, die seien validiert und mit langfristigem Support von Rust-Experten flankiert. Die Kosten würden insbesondere den langfristigen Support abdecken, der über das hinausgehe, was das Rust-Projekt garantiere. Da in der nun aktuellen Version 23.06.0 noch proprietäre Anteile von einer früheren Partnerschaft steckten, werde man den freien Ferrocene Compiler in Version 23.06.1 in den kommenden Monaten veröffentlichen, sobald die proprietären Teile entfernt worden seien.

Der Beitrag Ferrocene: Rust-Compiler wird Open Source erschien zuerst auf Linux-Magazin.

Mit Stack Canarys sollen eigentlich Buffer-Overflows erkannt werden. Durch Zufall entdeckte ein Team von Meta, dass das nicht immer der Fall ist.

Der Chip-Designer ARM und das Team der GNU Compiler Collection (GCC) haben eine Sicherheitslücke (CVE-2023-4039) im gleichnamigen C-Compiler der Softwaresuite behoben. Der zugrunde liegende Fehler findet sich im Stack Smashing Protector von GCC für ARM64, der mit Hilfe eines sogenannten Canarys das Ausnutzen eines Stack Buffer Overflows verhindern soll und wurde offenbar durch Zufall entdeckt.

Das berichten Tom Hebb von Metas Sicherheitsgruppe Red Team X sowie die auf den ARM-Befehlssatz spezialisierte Sicherheitsexpertin Maria Markstedter alias Azeria. Aufgefallen war die Sicherheitslücke demnach in einer Demo-Anwendung bei einem Exploit-Training, das Markstedter anbietet. Dabei werden unter anderem verschiedene Techniken zum Ausnutzen von Sicherheitslücken auf ARM-Plattformen besprochen.

Die betroffene GCC-Funktion setzt einen sogenannten Canary in die Datenstrukur im Speicher. Bei einem Buffer Overflow wird der Canary überschrieben, was wiederum erkannt werden kann, um den Programmablauf zu unterbrechen. Ein Angriff, der solch einen Overflow ausnutzt, um den Programmablauf zu kapern, kann so verhindert werden. Der Name der Technik ist dabei als Analog zum Canary in a coal mine gewählt.

Für Datentypen mit dynamischer Speichergröße wie etwa Variable-Length-Array (VLA) oder Objekte, die per Alloca-Aufruf erstellt werden, funktionierte der Schutz über den Canary bisher aber nicht wie vorgesehen und konnte umgangen werden. Davon betroffen ist aber nur die ARM64-Plattform und keine der anderen unterstützen CPU-Architekturen. Hebb führt dies in der Beschreibung der Lücke auf eine Eigenart dieser Implementierung zurück. Ähnliche Lücken fanden sich bereits in der GCC-Umsetzung für ARM32 sowie im Clang-Compiler für ARM64.

Der Beitrag GCC: Forscher finden Sicherheitslücke bei Exploit-Training erschien zuerst auf Linux-Magazin.

Gerade einmal 512 Byte umfasst der C-Compiler SectorC und passt damit komplett in den Boot-Sektor eines x86-Systems. Er unterstützt zwar nicht den kompletten C-Befehlssatz, aber dennoch erstaunlich viele Funktionen.

Darunter fallen laut Beschreibung globale Variablen, Funktionen, if- und while-Statements, zahlreiche Operatoren, das Dereferenzieren von Zeigern sowie Kommentare. Dem Compiler liegen drei Beispiel-Programme bei, die seine Leistungsfähigkeit demonstrieren.

Die vollständige zugrundeliegende Grammatik findet sich auf der GitHub-Seite, wo sich auch der Quellcode des Compilers findet. SectorC selbst ist in Assembler geschrieben, der sich mit Nasm übersetzen lässt. Ein Blog-Beitrag gibt zudem Einsicht in die Motivation und Entwicklung.

Der Beitrag C-Compiler SectorC: Kompletter C-Compiler im Boot-Sektor erschien zuerst auf Linux-Magazin.

Gerade einmal 512 Byte umfasst der C-Compiler Sector

Der Beitrag Ein kompletter C-Compiler im Boot-Sektor erschien zuerst auf LinuxCommunity.

Mit Version 13.1 der GNU Compiler Suite GCC haben die Entwickler eine neue Hauptversion veröffentlicht. Diese neue Version integriert unter anderem ein Frontend für die Sprache Modula-2.

Das Modula-2-Frontend war bislang nur separat erhältlich. GCC 13.1 legt außerdem auch den Grundstein für ein Frontend für Rust, das dann in einer kommenden Version verfügbar sein soll.

Den Programmiersprachen C und C++ haben sich die Entwickler verstärkt angenommen. Es seien in das C-Frontend Unterstützung für mehrere C23-Funktionen eingeflossen und gleiches gilt auch für das C++-Frontend und dort eingeflossene C++23-Funktionen.

Verbessert zeigt sich die bislang noch experimentelle Unterstützung der C++-Standardbibliothek für C++20 und C++23, heißt es in der Ankündigung.  Für die C-Sprachfamilie lasse sich nun -fstrict-flex-arrays[=level] verwenden, um das Verhalten für die verschiedenen Legacy-Formen der Angabe von flexiblen Array-Mitgliedern zu steuern.

Den statische Analyzer der GCC sei mit 20 neuen Diagnosearten ebenfalls stark verbessert worden heißt es weiter. Zudem seien nun neue CPU-Funktionen in der ARM-, x86-Familie, RISC-V und LoongArch unterstützt. Dadurch beherrsche etwa RISC-V die Vektor-Intrinsik wie sie in der Spezifikation 0.11 festgelegt.

Der Beitrag GCC 13.1: Neues Major-Release erschien zuerst auf Linux-Magazin.