この記事はエープリル・フールの企画記事ですのでご注意ください。
L0pht Heavy Industries(サイト)の研究者が、Quicksortアルゴリズム(Wikipedia)の標準実装における欠陥を発見した。確実にもっとも広範囲にわたる脆弱性の一つになる事が確実である。 InfoQはL0phtのDildog氏(Wikipedia)にインタビューをし、この脆弱性とその波及する範囲について話を聞いた。
Dildog氏はこの脆弱性をバッファオーバーフロー(Wikipedia)として知られている脆弱性と同じクラスのものであると説明した。こうした種類の脆弱性では、悪意のあるプログラムは指定のプロセスを実行しているユーザのパーミッションで任意のコードを実行することができる。
Quicksortの場合、脆弱性のsourceはまだ公開されていない。しかしながら、セキュリティ分析をおこなっている外部の2社により、Quicksortアルゴリズムの標準実装に脆弱性があることが確認されている。このアルゴリズムの疑似コードは、Wikipedia(Wikipedia)では以下のように紹介されている。
function quicksort(array)
var list less, greater
if length(array) ≤ 1
return array
select and remove a pivot value pivot from array
for each x in array
if x ≤ pivot then append x to less
else append x to greater
return concatenate(quicksort(less), pivot, quicksort(greater))
この脆弱性は、以下のライブラリ、ランタイムおよび製品に影響を与えていると確認されている。
- (Sun、IBM、Oracle/BEAおよびApacheを含む)JVMの複数の実装
- .Net CLRのバージョン 3.5 SP1以上
- Microsoft Visual C Runtimeのバージョン 9.0以上
- Adobe Flashランタイムのバージョン10.0以上
- glibcのバージョン 2.6以上
- Apache HTTPDのバージョン 2.2.13以上
- Cisco、Juniper、D-Link、NetgearおよびLinksysのものを含む、多数のハブ、スイッチおよびルーター
Dilog氏によると、以前は知られていなかった脆弱性への攻撃コード(Exploit)によって攻撃されたシステムの調査をしていく中で、この脆弱性は初めて発見された。この攻撃コード(Exploit)は、脆弱性の問題のあるコンピュータの全てのシステム音を、80年代ポップスのクリップ(YouTubeクリップ)に変え、そして、全てのシステムイメージとアイコンをかわいい猫のイメージ(サイト:Lolcats)に置き換える。この攻撃コード(Exploit)はこれ以外の報告はされていないが、私達はInfoQの全ての読者に、注意を払って、Rick Astley(YouTubeクリップ)かLolcats(サイト:Lolcats)の予期しない表示があれば、適切な専門家(サイト)に報告するようにアドバイスする。
原文はこちら:http://www.infoq.com/news/2009/04/quicksort-security-vulnerability:この原文は4月1日に投稿されました。