バッファオーバフローについて
コンピュータウイルスやワーム、不正侵入手口などについて調べていくと、バッファオーバフローという脆弱性が目立つと感じるはずだ。実際に、SIOS( https://vdb.sios.biz/ )で「buffer overflow」をキーワード検索すると、1,000件以上ヒットすることからも、バッフ
特集
特集
今回のコラムでは、バッファオーバフロー問題について考えていく。
バッファオーバフローとは、プログラマが用意した領域に、その領域の大きさを越えたデータが入力されて起こる。この状態になると、メモリにロードされたプログラムの一部が壊れることになるが、C/C++言語の仕様では、バッファの境界値チェックは行わないので、こういう事は起きやすい。
全てバグ(プログラマのコーディングミス)である。
●仮想メモリ空間
最初に、プロセスがどのようにメモリを使用するかについて確認しておく。
プロセスが使用するメモリは、テキスト領域、データ領域、BSS領域、ヒープ領域、スタック領域と分類できる。C言語では各領域を次のように使用する(Linuxの例で説明するが、他のOSでも同じような構成)。
・テキスト領域
プログラムの実行コードが格納される。読み取り専用。複数のプロセスで共有される。
・データ領域
宣言時に値をセットしたスタティック変数やグローバル変数が格納される。
・BSS領域
宣言時に値をセットしていないスタティック変数やグローバル変数が格納される。
横河電機株式会社 SIOS調査員B
(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》
アクセスランキング
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求
-
「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開
-
インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に
-
PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも