アカウント名:
パスワード:
Tizenにはメモリ内のデータを複製する「Strcpy ()」という関数が使われていますが、 [gigazine.net]データを書き込むのに十分な領域が確保されているのかをチェックすることができないという基本的な欠陥があるとのこと。このため、攻撃者は意図的にバッファーオーバーラン状態を作り出せてしまうとネイダーマン氏は指摘しています。
ちなみにネイダーマン氏によると、今ではこの機能を使うプログラマーはいないそうですが、Tizenのコード内ではそこら中にあふれている状況だそうです。
そこのあなた、「どきっ」としませんでしたか?w
しかし、最近はこういう単純な「やらかし」をあぶりだす、コードの安全性検証ツールやサービスがいくらでもあると思うんだが、メーカーはそういうものを使ってコードを精査とかしないもんなのかね。
ANSI-Cを大学の授業で強制された為、strcpy()を使う羽目になったことはあります。実際のツールを作るときは全く使っていません。
で、石投げていいですか?
TCHARマクロをベースにしてたので、_tcscpy なら使った事あります。石投げていいですよね(冗談
言語の選定から駄目
Linuxベースなんだから、そこは仕方あるまい。
.NET Core
何故記事にある頭文字が大文字のStrcpy()ではなく、strcpy()が槍玉に上がっているのですか?
元記事 [vice.com]に"strcpy()"と書かれているからな。その記事でも、文の頭にその語が来るときは、"Strcpy()"と書かれている。
One example he cites is the use of strcpy() in Tizen. "Strcpy()" is a function for replicating data in memory.
つまり記事を書いたやつは、プログラミング言語には全然詳しくない、無頓着な文系記者だということだ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
汝らの中でstrcpy()を使ったことのないものだけが、まず石を投げなさい (スコア:0)
Tizenにはメモリ内のデータを複製する「Strcpy ()」という関数が使われていますが、 [gigazine.net]
データを書き込むのに十分な領域が確保されているのかをチェックすることができないという基本的な欠陥があるとのこと。
このため、攻撃者は意図的にバッファーオーバーラン状態を作り出せてしまうとネイダーマン氏は指摘しています。
ちなみにネイダーマン氏によると、今ではこの機能を使うプログラマーはいないそうですが、
Tizenのコード内ではそこら中にあふれている状況だそうです。
そこのあなた、「どきっ」としませんでしたか?w
しかし、最近はこういう単純な「やらかし」をあぶりだす、コードの安全性検証ツールやサービスがいくらでもあると思うんだが、
メーカーはそういうものを使ってコードを精査とかしないもんなのかね。
Re: (スコア:0)
ANSI-Cを大学の授業で強制された為、strcpy()を使う羽目になったことはあります。
実際のツールを作るときは全く使っていません。
で、石投げていいですか?
Re: (スコア:0)
TCHARマクロをベースにしてたので、_tcscpy なら使った事あります。
石投げていいですよね(冗談
Re: (スコア:0)
言語の選定から駄目
Re: (スコア:0)
Linuxベースなんだから、そこは仕方あるまい。
Re: (スコア:0)
.NET Core
Re: (スコア:0)
何故記事にある頭文字が大文字のStrcpy()ではなく、strcpy()が槍玉に上がっているのですか?
Re: (スコア:0)
元記事 [vice.com]に"strcpy()"と書かれているからな。
その記事でも、文の頭にその語が来るときは、"Strcpy()"と書かれている。
One example he cites is the use of strcpy() in Tizen. "Strcpy()" is a function for replicating data in memory.
つまり記事を書いたやつは、プログラミング言語には全然詳しくない、無頓着な文系記者だということだ。