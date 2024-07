counted_by

struct foo { /* ... */ size_t count; /* Number of elements in array */ int array [ ] __attribute__ ( ( counted_by ( count ) ) ) ; } ;

struct foo * foo_alloc ( size_t count ) { struct foo * ptr = NULL; size_t size = MAX ( sizeof ( struct foo ) , offsetof ( struct foo, array [ 0 ] ) + count * sizeof ( p- > array [ 0 ] ) ) ; ptr = calloc ( 1 , size ) ; ptr- > count = count; return ptr; }

Les débordements de mémoire tampon sont depuis longtemps une source notoire de problèmes de sécurité dans le développement de logiciels. Alors que les assainisseurs ont atténué certaines de ces vulnérabilités en insérant automatiquement un contrôle des limites, les membres de tableaux flexibles sont restés une exception difficile. La taille de ces tableaux est généralement opaque pour le compilateur, ce qui rend difficile la vérification des limites en dehors de la fonction d'allocation.La solution de Google, mise en œuvre dans Clang et GCC, introduit l'attribut. Cet attribut référence explicitement le champ qui stocke le nombre d'éléments dans un membre de tableau flexible, ce qui permet à l'assainisseur de limites de tableaux de vérifier les opérations sur ces tableaux.Cette amélioration permet de remédier à la vulnérabilité critique de la programmation en C liée aux débordements de mémoire tampon, en particulier ceux impliquant des membres de tableaux flexibles dont la taille est déterminée au moment de l'exécution. Cette approche crée une relation implicite entre le membre du tableau flexible et le champ, améliorant ainsi la capacité des assainisseurs à détecter les débordements potentiels.Les débordements de mémoire tampon sont à l'origine de nombreux problèmes de sécurité et constituent une épine persistante dans le pied des programmeurs. Le langage C y est particulièrement sensible.L'avènement des assainisseurs atténue certains problèmes de sécurité en insérant automatiquement une vérification des limites, mais ils ne sont pas en mesure de le faire dans toutes les situations ; en particulier pour les membres de tableaux flexibles, car leur taille n'est connue qu'au moment de l'exécution.La taille d'un membre de tableau flexible est généralement opaque pour le compilateur. L'attributdepeut être utilisé pour vérifier les limites des membres d'un tableau flexible dans la même fonction que l'allocation. Mais l'information de l'attribut n'est pas transportée avec l'objet alloué, ce qui rend impossible l'exécution d'une vérification des limites ailleurs.Pour pallier cet inconvénient, Clang et GCC introduisent1 l'attributpour les membres de tableaux flexibles.Le nombre d'éléments alloués à un membre de tableau flexible est souvent stocké dans un autre champ de la même structure. Lorsqu'il est appliqué à un membre de tableau flexible, l'attributest utilisé par l'assainisseur - activé par- en référençant explicitement le champ qui stocke le nombre d'éléments. L'attribut crée une relation implicite entre le membre de tableau flexible et le champ, ce qui permet à l'assainisseur de vérifier les opérations sur les tableaux flexibles.Certaines règles doivent être respectées lors de l'utilisation de cette fonctionnalité. Pour cette structure :Exemple d'allocation de la structure ci-dessus :La fortification (activée par la macro) est un projet en cours visant à rendre le noyau Linux plus sûr. Il se concentre principalement sur la prévention des débordements de mémoire tampon lors des opérations sur la mémoire et les chaînes de caractères.La fortification utilise les modulesetpour essayer de déterminer si l'entrée passée dans une fonction est valide (c'est-à-dire "). Un appel àn'est généralement pas en mesure de prendre en compte la taille d'un membre de tableau flexible. Mais avec l'attribut, il est en mesure de calculer la taille et d'améliorer la sécurité.L'attributest déjà utilisé dans le noyau Linux et permettra de détecter des problèmes tels que les débordements d'entiers, qui ont entraîné un débordement de la mémoire tampon du tas. Google va étendre son utilisation à des membres de tableaux plus flexibles, et renforcer son utilisation à l'avenir.L'attributaide à résoudre un problème de fortification de longue date où les limites de la mémoire d'un membre de tableau flexible ne pouvaient pas être déterminées par le compilateur, rendant ainsi Linux, et d'autres applications renforcées, moins exploitables.: GoogleQuel est votre avis sur le sujet ?