BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Quicksort算法标准实现中发现严重安全漏洞

| 作者 Ryan Slobojan 关注 0 他的粉丝 ,译者 郭晓刚 关注 0 他的粉丝 发布于 2009年4月2日. 估计阅读时间: 3 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

L0pht Heavy Industries黑客组织的一位研究者发现了Quicksort算法标准实现中的一处缺陷,论影响之广,这个漏洞肯定会在所有已知安全漏洞中名列前茅。InfoQ向L0pht组织的Dildog询问了漏洞的详情及可能造成的后果。

Dildog解释说这个漏洞属于利用缓冲区溢出的类型。在这类漏洞中,当用户执行带漏洞的程序时,其权限就会被恶意程序利用来执行任意代码。

本次发现的Quicksort安全漏洞代码还没有公开,但已有两家独立的安全分析公司确认Quicksort算法的标准实现中确实存在漏洞。Wikipedia上给出的Quicksort算法伪代码如下:

 function quicksort(array)
     var list less, greater
     if length(array) ≤ 1  
         return array  
     select and remove a pivot value pivot from array
     for each x in array
         if x ≤ pivot then append x to less
         else append x to greater
     return concatenate(quicksort(less), pivot, quicksort(greater))

目前已确认以下库、运行时、产品受到此漏洞的影响:

  • 多个JVM实现(包括来自Sun、IBM、Oracle/BEA和Apache的实现)
  • .Net CLR,3.5 SP1及以下版本
  • Microsoft Visual C Runtime,9.0及以下版本
  • Adobe Flash运行时,10.0及以下版本
  • glibc,2.6及以下版本
  • Apache HTTPD,2.2.13及以下版本
  • 众多集线器、交换机、路由器,包括部分来自Cisco、Juniper、D-Link、Netgear及Linksys的产品

据Dildog所说,该漏洞是在对一台受到未知恶意程序侵害的计算机分析取证时发现的。该恶意程序将受害计算机的所有系统声音都替换成了一曲80年代流行歌的片段(译注:Rick Astley,Never Gonna Give You Up),所有系统图片和图标都替换成了笑猫图Lolcat)。

尽管目前尚未发现第二例感染报告,但我们建议所有InfoQ读者提高警惕,若您在电脑上发现任何Rick Astley或者Lolcat的踪迹,请立即向有关部门报告。

查看英文原文:Critical Security Vulnerability Found in Quicksort

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

可怕 by 焕新 陈

因为今天是4月1日!

Re: 可怕 by Jeffrey Zhao

我同意你的看法……

应该是假消息 by 统贤 唐

文章中“请立即向有关部门报告”
点击进去后,竟然是有关April_Fools'_Day的链接,哈哈

Re: 应该是假消息 by Guo Xiaogang

没有人点“提高警惕”的链接么?

去年的时候就搞过类似的事情 by 乔 木

好像说是微软把Spring给收购了。。。。。。
今年多长个心眼

Re: 去年的时候就搞过类似的事情 by 霍 泰稳

看来这样的把戏不能玩太多 :)

........ by Wei Fisher

要不是看了回复,我还真被骗了……

Re: 去年的时候就搞过类似的事情 by Zheng Robin

SPRING被收购的事也把我吓了一跳.....害我一阵狂搜....这不是真的吧.....

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

8 讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT