CodeZine(コードジン)

特集ページ一覧

TIFFライブラリに潜む脆弱性をつぶすパッチ(その2)

実例で学ぶ脆弱性対策コーディング 第6回

  • LINEで送る
  • このエントリーをはてなブックマークに追加

目次

プログラムのクラッシュは脅威

 この脆弱性はプログラムのクラッシュがきっかけで発見されました。プログラムがただクラッシュするだけで任意のコード実行ができないのであれば、大した問題ではないのではないか? という意見もあるかと思います。しかし、今回のようなライブラリにおけるクラッシュの問題は、見過ごすことのできない重大な問題です。

 広くさまざまなソフトウェアで利用されるライブラリが原因でプログラムがクラッシュする場合、問題の部分がどのように使われているかによって、その影響がどのような形で現れるかが変わってきます。ライブラリが画像処理サーバやWebアプリケーションなどで利用されている場合、単なるプログラムのクラッシュが企業のビジネスやサービスを停止させるほどの悪影響を及ぼす問題にも発展しかねません。

 今回の問題が発生した原因は、符号付きデータと符号無しデータが混在した形の演算を行ったことにあります。プログラムを開発する際には、整数演算において符号の有無が混在しない形にするよう心掛けてください。また、どうしても混在した演算をしなければならない場合には、整数演算における型変換に関するルールを思い出し、プログラムの挙動を確認してください。

参考情報



  • LINEで送る
  • このエントリーをはてなブックマークに追加

バックナンバー

連載:実例で学ぶ脆弱性対策コーディング

もっと読む

著者プロフィール

あなたにオススメ

All contents copyright © 2005-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5