セキュリティの深刻な脆弱性につながるダングリングポインタ危険度はバッファオーバーフロー級

ダングリングポインタは品質管理段階まで放置すると取り返しがつかなくなる恐れがあるため、開発ライフサイクルの早い段階から回避策を実行する必要がある。

2007年11月01日 04時45分 公開
[Michael Cobb,TechTarget]

 従来、ダングリングポインタという非常に一般的なプログラミングエラーは、セキュリティの問題というよりも品質管理の問題と考えられることが多かった。例えば、2005年にInternet Information Services 5.1のダングリングポインタがMicrosoftに報告されたが、その後2年間、対応パッチが提供されなかった。こうしたバグはシステムをクラッシュさせたり、深刻なセキュリティ上の脅威をもたらす可能性があるにもかかわらずだ。

 ダングリングポインタは、プログラマーがメモリオブジェクトを作成・使用し、解放時に、オブジェクトのポインタの値をそれに合わせて変更(つまり、NULLに変更)しなかった場合に発生する。そのポインタは、メモリの割り当てが解除されたメモリ位置を不正に参照することになる。このポインタがダングリング(宙ぶらりん)ポインタと呼ばれるのは、このポインタが指すメモリが、もはや有効なオブジェクトを保持していないかもしれないからだ。このメモリはまったく異なるデータを含んでいる可能性があるため、オブジェクトにアクセスするためにプログラマーが誤ってこのポインタをデリファレンスする(ポインタが指す値を参照する)と、予測できない動作が発生する恐れがある。

 最近IBMに買収されたオンラインリスク管理会社Watchfireの専門家は、ダングリングポインタをコントロールして、特定のメモリ位置を参照させる方法を発見した。同社研究員のジョナサン・アフェク氏とアディ・シャラバニ氏は、特別に作成されたURLをサーバに送信することでターゲットマシンをクラッシュさせ、その上でシェルコードを実行できる場合があることを確認した。攻撃者はこの方法により、バッファオーバーフローの脆弱性を悪用する場合とほぼ同様に、ダングリングポインタの問題があるアプリケーションが動作する任意のマシンを、リモートでコントロールしたり破損させたりすることができる。

会員登録(無料)が必要です

関連ホワイトペーパー

バッファオーバーフロー | 品質管理 | 開発プロセス | 脆弱性


Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ システム開発

新着ホワイトペーパー

製品資料 サイボウズ株式会社

「ERP×ノーコードツール」のアプローチを推進するためのポイントとは?

DXが進み、レガシーシステムからの脱却が喫緊の課題となっている今。「ERP×ノーコードツール」のアプローチで基幹システムの刷新に取り組む企業が増えている。そのアプローチを推進するに当たってのポイントを解説する。

事例 サイボウズ株式会社

ローコード/ノーコード開発ツールで実現する、変化に強い組織の作り方

DXの本質は、デジタル技術を駆使して変化に適応する能力を身につけることにある。その手段の1つとして注目を集めているのが、ローコード/ノーコード開発ツールだ。京王グループなどの事例とともに、その特徴やメリットを紹介する。

事例 サイボウズ株式会社

ノーコードツールでDX人材を育成、京セラや日本航空などの事例に学ぶ効果の実態

DX人材の重要性が高まる中、ノーコードツールの活用によって業務改革と人材育成を両立しようとする動きが活発化している。年間約780時間の工数削減を実現した京セラをはじめとする5社の事例を基に、その実態を探る。

事例 アステリア株式会社

ものづくり現場で「足かせ」のアナログ業務、9社の事例に学ぶ業務改善の秘訣

急速に進化するデジタル技術は、製造業などのものづくりの現場にもさまざまな恩恵をもたらしている。しかし、設備点検業務や棚卸業務などの立ち仕事や移動が多い現場では、いまだにアナログ業務が残存し、効率化の妨げとなっているという。

事例 アステリア株式会社

工場・倉庫の「隙間業務」をデジタル化、11社の事例に学ぶ現場DX

あらゆる業界でDXの重要性が増しているが、工場や倉庫の中にはデジタル化が後回しにされている隙間業務が多数ある。その理由を明らかにした上で、それらの業務をモバイルアプリでデジタル化し、現場DXを推進する9社の事例を紹介する。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

アクセスランキング

2025/05/09 UPDATE

  1. 「SDK」と「API」の違いとは? どう使い分ける?
  2. なぜ「Java」は“面倒”で「Python」は“危険”なのか
  3. 「PyTorch」対「TensorFlow」 失敗しない深層学習フレームワークの選び方
  4. “AIコーディング”でどのツールを選ぶ? 「ChatGPT」「Claude」の真価
  5. いまさら聞けない「Apache HTTP Server」と「Apache Tomcat」の違いとは?
  6. APIとは何か? Web APIとの違い、利用者のタスクを解説
  7. コンテナ管理ツールは「Docker」だけではない 主要ツールを紹介
  8. 自社に合うIDE向け「AIコーディングアシスタント」はどれ? 失敗しない選び方
  9. 「ローコード」と「スクラッチ」、開発者はどう使い分けるべき?
  10. 「sudo」は“須藤”と読まないし「daemon」は“悪魔”じゃない 正解は?

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方