検索
連載

動的メモリ管理に関する脆弱性もいちど知りたい、セキュアコーディングの基本(6)(2/4 ページ)

本連載の第2回と第3回では主にスタックバッファオーバーフローについて説明しました。今回はそれに関連して、スタックバッファオーバーフロー検知の仕組みに関する話を紹介し、その後、動的メモリ管理に関連する脆弱性を見ていきたいと思います。

Share
Tweet
LINE
Hatena
前のページへ | 次のページへ 
	.section	.rodata
.LC0:
	.string	"%32s"
.LC1:
	.string	"%s 0x%x\n"
	.type	.LSSH0, @object
	.size	.LSSH0, 5
.LSSH0:
	.string	"main"
	.text
	.globl	main
	.type	main, @function
main:
.LFB3:
	pushq	%rbp
.LCFI0:
	movq	%rsp, %rbp
.LCFI1:
	subq	$80, %rsp
.LCFI2:
	movl	%edi, -68(%rbp)            ← main 関数の第1引数 argc
	movq	%rsi, -80(%rbp)            ← main 関数の第2引数 argv
	movq	__guard_local(%rip), %rax  ← canary 初期化
	movq	%rax, -8(%rbp)             ← canary 初期化
	xorl	%eax, %eax
	movl	$-1414717974, -52(%rbp)    ← ローカル変数 x の初期化
	leaq	-48(%rbp), %rsi            ← scanf 関数の第2引数 buf
	leaq	.LC0(%rip), %rdi           ← scanf 関数の第1引数 "%32s"
	movl	$0, %eax
	call	scanf@PLT                  ← scanf 関数呼び出し
	movl	-52(%rbp), %edx            ← printf 関数の第3引数 x
	leaq	-48(%rbp), %rsi            ← printf 関数の第2引数 buf
	leaq	.LC1(%rip), %rdi           ← printf 関数の第1引数 "%s 0x%x\n"
	movl	$0, %eax
	call	printf@PLT                 ← printf 関数呼び出し
	movl	$0, %eax
	movq	-8(%rbp), %rdx             ← canary チェック
	xorq	__guard_local(%rip), %rdx  ← canary チェック
	je	.L3
	leaq	.LSSH0(%rip), %rdi
	call	__stack_smash_handler@PLT
.L3:
	leave
	ret
オプション "-fstack-protector-all" が有効な場合のアセンブラーコード

 このアセンブラーコードによると、スタック上のデータ配置は次のようになっています(図1)。


図1 OpenBSD/amd64でコンパイルした場合のデータ配置

 図1でguardと記載した領域が、先ほどcanaryと呼んでいたものです。アセンブラーコードの最後のところで、元の値と同じなのかどうかをチェックしています。

 そしてxとbufの位置関係に注目してください。元のソースコードでは、最初にxの宣言、次にbufの宣言がなされていました。この順序に基づいて単純にスタック上に割り当てを行うと、xの方が後ろ、より高位のアドレスに置かれるはずです。スタックは後ろから前に向かって伸びていくからです。

 しかし、実際にはスタックの後ろの方に置かれているのはbufです。これは、配列へのデータ書き込みでバッファオーバーフローが発生しやすいことを踏まえ、他のローカル変数への影響を小さくしようという工夫の1つといえるでしょう。

 そしてbufの後ろ、canary(guard)の前には8バイトの空き領域があります。このため、1バイト程度の上書きでは検知できないわけです。

 参考までに、コンパイル時オプションに“-fno-stack-protector”を付けて、スタックバッファオーバーフロー検知のコードを省略した場合のアセンブラーコードも見てみましょう。

	.section	.rodata
.LC0:
	.string	"%32s"
.LC1:
	.string	"%s 0x%x\n"
	.text
	.globl	main
	.type	main, @function
main:                                      ← main 関数のエントリポイント
.LFB3:
	pushq	%rbp
.LCFI0:
	movq	%rsp, %rbp
.LCFI1:
	subq	$64, %rsp
.LCFI2:
	movl	%edi, -52(%rbp)           ← main 関数の第1引数 argc
	movq	%rsi, -64(%rbp)           ← main 関数の第2引数 argv
	movl	$-1414717974, -4(%rbp)    ← ローカル変数 x の初期化
	leaq	-48(%rbp), %rsi           ← scanf 関数の第2引数 buf
	leaq	.LC0(%rip), %rdi          ← scanf 関数の第1引数 “%32s”
	movl	$0, %eax
	call	scanf@PLT                 ← scanf 関数呼び出し
	movl	-4(%rbp), %edx            ← printf 関数の第3引数 x
	leaq	-48(%rbp), %rsi           ← printf 関数の第2引数 buf
	leaq	.LC1(%rip), %rdi          ← printf 関数の第1引数 “%s 0x%x\n”
	movl	$0, %eax
	call	printf@PLT                ← printf 関数呼び出し
	movl	$0, %eax
	leave
	ret
オプション “-fno-stack-protector”付きでコンパイルした場合のアセンブラーコード

このアセンブラーコードでは、スタック上のデータ配置は次のようになります(図2)。


図2 スタックバッファオーバーフロー検知なしの場合のデータ配置

 この場合、bufとxの間には12バイトの空き領域があることが分かります。ここでbufの領域を超えて書き込みが行われたとしても、12バイトまでならば、プログラムは問題なく動作することになります。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ | 次のページへ

Security & Trust 記事ランキング

  1. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  2. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  3. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  4. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  5. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  6. 「DX推進」がサイバー攻撃を増加させている? Akamaiがセキュリティレポートを公開
  7. CISOが失敗を許容する組織を構築するために注目すべきは生成AIと何か? ガートナーが提言
  8. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  9. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  10. 2024年10月現在で「過度な期待」をされているセキュリティ技術は何? ガートナーがハイプ・サイクルを発表
ページトップに戻る