BT

InfoQ ホームページ ニュース 重要なセキュリティの脆弱性がQuicksortで発見

重要なセキュリティの脆弱性がQuicksortで発見

ブックマーク

この記事はエープリル・フールの企画記事ですのでご注意ください。

 

L0pht Heavy Industries(サイト)の研究者が、Quicksortアルゴリズム(Wikipedia)の標準実装における欠陥を発見した。確実にもっとも広範囲にわたる脆弱性の一つになる事が確実である。 InfoQはL0phtのDildog氏(Wikipedia)にインタビューをし、この脆弱性とその波及する範囲について話を聞いた。

Dildog氏はこの脆弱性をバッファオーバーフロー(Wikipedia)として知られている脆弱性と同じクラスのものであると説明した。こうした種類の脆弱性では、悪意のあるプログラムは指定のプロセスを実行しているユーザのパーミッションで任意のコードを実行することができる。

Quicksortの場合、脆弱性のsourceはまだ公開されていない。しかしながら、セキュリティ分析をおこなっている外部の2社により、Quicksortアルゴリズムの標準実装に脆弱性があることが確認されている。このアルゴリズムの疑似コードは、Wikipedia(Wikipedia)では以下のように紹介されている。

 function quicksort(array)
     var list less, greater
     if length(array) ≤ 1  
         return array  
     select and remove a pivot value pivot from array
     for each x in array
         if x ≤ pivot then append x to less
         else append x to greater
     return concatenate(quicksort(less), pivot, quicksort(greater))

この脆弱性は、以下のライブラリ、ランタイムおよび製品に影響を与えていると確認されている。

  • (Sun、IBM、Oracle/BEAおよびApacheを含む)JVMの複数の実装
  • .Net CLRのバージョン 3.5 SP1以上
  • Microsoft Visual C Runtimeのバージョン 9.0以上
  • Adobe Flashランタイムのバージョン10.0以上
  • glibcのバージョン 2.6以上
  • Apache HTTPDのバージョン 2.2.13以上
  • Cisco、Juniper、D-Link、NetgearおよびLinksysのものを含む、多数のハブ、スイッチおよびルーター

Dilog氏によると、以前は知られていなかった脆弱性への攻撃コード(Exploit)によって攻撃されたシステムの調査をしていく中で、この脆弱性は初めて発見された。この攻撃コード(Exploit)は、脆弱性の問題のあるコンピュータの全てのシステム音を、80年代ポップスのクリップ(YouTubeクリップ)に変え、そして、全てのシステムイメージとアイコンをかわいい猫のイメージ(サイト:Lolcats)に置き換える。この攻撃コード(Exploit)はこれ以外の報告はされていないが、私達はInfoQの全ての読者に、注意を払って、Rick Astley(YouTubeクリップ)かLolcats(サイト:Lolcats)の予期しない表示があれば、適切な専門家(サイト)に報告するようにアドバイスする。

 

原文はこちら:http://www.infoq.com/news/2009/04/quicksort-security-vulnerability:この原文は4月1日に投稿されました。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT

あなたのプロファイルは最新ですか?プロフィールを確認してアップデートしてください。

Eメールを変更すると確認のメールが配信されます。

会社名:
役職:
組織規模:
国:
都道府県:
新しいメールアドレスに確認用のメールを送信します。このポップアップ画面は自動的に閉じられます。