ダングリングポインタは品質管理段階まで放置すると取り返しがつかなくなる恐れがあるため、開発ライフサイクルの早い段階から回避策を実行する必要がある。
従来、ダングリングポインタという非常に一般的なプログラミングエラーは、セキュリティの問題というよりも品質管理の問題と考えられることが多かった。例えば、2005年にInternet Information Services 5.1のダングリングポインタがMicrosoftに報告されたが、その後2年間、対応パッチが提供されなかった。こうしたバグはシステムをクラッシュさせたり、深刻なセキュリティ上の脅威をもたらす可能性があるにもかかわらずだ。
ダングリングポインタは、プログラマーがメモリオブジェクトを作成・使用し、解放時に、オブジェクトのポインタの値をそれに合わせて変更(つまり、NULLに変更)しなかった場合に発生する。そのポインタは、メモリの割り当てが解除されたメモリ位置を不正に参照することになる。このポインタがダングリング(宙ぶらりん)ポインタと呼ばれるのは、このポインタが指すメモリが、もはや有効なオブジェクトを保持していないかもしれないからだ。このメモリはまったく異なるデータを含んでいる可能性があるため、オブジェクトにアクセスするためにプログラマーが誤ってこのポインタをデリファレンスする(ポインタが指す値を参照する)と、予測できない動作が発生する恐れがある。
最近IBMに買収されたオンラインリスク管理会社Watchfireの専門家は、ダングリングポインタをコントロールして、特定のメモリ位置を参照させる方法を発見した。同社研究員のジョナサン・アフェク氏とアディ・シャラバニ氏は、特別に作成されたURLをサーバに送信することでターゲットマシンをクラッシュさせ、その上でシェルコードを実行できる場合があることを確認した。攻撃者はこの方法により、バッファオーバーフローの脆弱性を悪用する場合とほぼ同様に、ダングリングポインタの問題があるアプリケーションが動作する任意のマシンを、リモートでコントロールしたり破損させたりすることができる。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
