Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A Microsoft letiltja a memcpy()-t

2009.05.16. 09:20 | buherator | 1 komment

Hányszor láttunk példát arra az esetre, mikor a kezdő kocsmatöltelék, miután cimborája már szupermen pózba szenderedett, kettőjük félsöréből egy hirtelen mozdulattal igyekszik egy egyészet gyártani, nem számolva a hirtelen habzás kockázatával... És hányszor láttunk már olyat, hogy a szeleburdi programozó nagyobb adag bitet próbál betuszkolni a memóra egyik szegletébe, mint ami odaférne!

A Microsoft úgy döntött, hogy (saját termékeit tekintve legalábbis) leszámol az utóbb említett káros gyakorlattal, és tiltólistára teszi a memcpy(), CopyMemory() és RtlCopyMemory() függvényeket, helyettük pedig a memcpy_s() használatát írja elő, melynél már megadható a kimeneti puffer mérete. Nem ez az első lépés Redmond részéről a potenciálisan veszélyes rutinok kiküszöbölésére, példának okáért az strcpy() és az strcat() függvények is már rég feketelistán vannak. 

Persze a fenti eljárások helytelen használata nem csak az MS-programozók sajátja, és természetesen a tiltás sem egy csodaszer. Teljesen biztonságos kódok talán akkor születnének, ha a nop utasításon kívül semmi mást nem használhatnánk. Reméljük viszont, hogy ez a lépés talán felhívja a figyelmet egyes hőskorban született eljárások veszélyeire, valamint bízzunk abban is, hogy ezt elősegítendő,  a memcpy_s a közeljövőben a GCC csomagba is be fog kerülni.

Címkék: microsoft programozás memcpy

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hunger 2009.05.16. 22:45:37

Eléggé OpenBSD majmolás az egész, pedig csak tudni kellene rendesen használni ezeket a függvényeket, mert a memcpy_s(), strlcpy() és társai ugyanúgy biztonsági kockázatot rejtenek magukban...