Dabei war log4j nicht mal ein Fehler, sondern ursprĂĽnglich so gewollt. Da hatten schlieĂźlich damals schon etliche bei dem Vorschlag vor gewarnt, dass so ein "Feature" nach hinten los gehen kann.
Aber log4j zeigt auch, dass es da keine einfache Abgrenzung geben kann. Alleine das weite Feld der Speicherfehler in bereits sehr gut abgehangenen C Quelltexten dĂĽrfte fĂĽr sehr viel Abgrenzungs- und Interpretationsspielraum vor Gerichten fĂĽhren. Je nach dem, was dann in den endgĂĽltigen Texten steht. Es wird schlieĂźlich kein Entwickler absichtlich hin gehen, um bei C zu bleiben, einen freigegebenen Zeiger auf Speicher wieder oder weiter zu verwenden.
Richtig fies wird es dann, wenn ich an Meltdown oder Spectre denke. Was ist, wenn die Software formal korrekt ist, aber durch die Wirkung zur Laufzeit so eine Lücke öffnet. In einem ersten Impuls dürfte man da auf die Entwickler der Software los gehen, die sich dann wahrscheinlich nur mit teuren Gutachten wieder rein waschen können.