Перечтение буфера

В компьютерной безопасности и программировании — перечтение буфера. ^[1]^[2] или за пределами чтения ^[3] — это аномалия , при которой программа при чтении данных из буфера выходит за границу буфера и считывает (или пытается прочитать) соседнюю память. Это частный случай нарушения безопасности памяти .

Перечтение буфера может быть вызвано, как в случае с ошибкой Heartbleed , злонамеренно созданными входными данными, которые предназначены для использования отсутствия проверки границ для чтения частей памяти, не предназначенных для доступа. Они также могут быть вызваны только ошибками программирования. Чрезмерное чтение буфера может привести к нестабильному поведению программы, включая ошибки доступа к памяти , неверные результаты, сбой или нарушение безопасности системы. Таким образом, они являются основой многих уязвимостей программного обеспечения и могут быть использованы злонамеренно для доступа к конфиденциальной информации. ^{[ нужна ссылка ]}

В других случаях перечитывание буфера, не вызванное вредоносным вводом, может привести к сбоям, если они вызывают ошибки недействительной страницы . Например, массовые сбои в работе ИТ в 2024 году были вызваны ошибкой выхода за пределы памяти в программном обеспечении кибербезопасности, разработанном CrowdStrike . ^[4]

К языкам программирования, обычно связанным с перечитыванием буфера, относятся C и C++ , которые не обеспечивают встроенной защиты от использования указателей для доступа к данным в любой части виртуальной памяти и которые не проверяют автоматически безопасность чтения данных из блока памяти. ; соответствующие примеры пытаются прочитать больше элементов, чем содержится в массиве, или не удается добавить завершающий признак к строке с нулевым завершением . Проверка границ может предотвратить перечитывание буфера. ^[5] в то время как фазз-тестирование может помочь их обнаружить.

См. также

Ссылки

^ «CWE – CWE-126: Перечтение буфера» . Перечень общих слабостей (список версии 4.15) . 18 февраля 2014. Архивировано из оригинала 8 февраля 2018 года . Проверено 24 июля 2024 г.
^ Стракс, Рауль; Юнан, Ив; Филиппаертс, Питер; Писсенс, Франк; Лахмунд, Свен; Уолтер, Томас (1 января 2009 г.). «Нарушение предположения о секретности памяти» . Материалы второго европейского семинара по системной безопасности . ЕВРОСЕК '09. Нью-Йорк, штат Нью-Йорк, США: ACM. стр. 1–8. дои : 10.1145/1519144.1519145 . ISBN 9781605584720 . S2CID 17259394 .
^ «CWE — CWE-126: Перечтение буфера» . Перечень общих слабостей (список версии 4.15) . Архивировано из оригинала 17 августа 2023 года . Проверено 24 июля 2024 г.
^ «Центр исправлений и рекомендаций по обновлению контента Falcon | CrowdStrike» . www.crowdstrike.com . Архивировано из оригинала 24 июля 2024 г. Проверено 24 июля 2024 г.
^ Ив Юнан; Воутер Йосен; Фрэнк Писсенс (25 февраля 2013 г.). «Эффективная защита от переполнения буфера в куче, не прибегая к магии» (PDF) . Кафедра компьютерных наук, Католический университет Левена. Архивировано из оригинала (PDF) 5 сентября 2013 г. Проверено 24 апреля 2014 г.

Внешние ссылки

Эта о компьютерной безопасности статья незавершена . Вы можете помочь Википедии, расширив ее .

[1] «CWE – CWE-126: Перечтение буфера» . Перечень общих слабостей (список версии 4.15) . 18 февраля 2014. Архивировано из оригинала 8 февраля 2018 года . Проверено 24 июля 2024 г.

[2] Стракс, Рауль; Юнан, Ив; Филиппаертс, Питер; Писсенс, Франк; Лахмунд, Свен; Уолтер, Томас (1 января 2009 г.). «Нарушение предположения о секретности памяти» . Материалы второго европейского семинара по системной безопасности . ЕВРОСЕК '09. Нью-Йорк, штат Нью-Йорк, США: ACM. стр. 1–8. дои : 10.1145/1519144.1519145 . ISBN 9781605584720 . S2CID 17259394 .

[3] «CWE — CWE-126: Перечтение буфера» . Перечень общих слабостей (список версии 4.15) . Архивировано из оригинала 17 августа 2023 года . Проверено 24 июля 2024 г.

[4] «Центр исправлений и рекомендаций по обновлению контента Falcon | CrowdStrike» . www.crowdstrike.com . Архивировано из оригинала 24 июля 2024 г. Проверено 24 июля 2024 г.

[5] Ив Юнан; Воутер Йосен; Фрэнк Писсенс (25 февраля 2013 г.). «Эффективная защита от переполнения буфера в куче, не прибегая к магии» (PDF) . Кафедра компьютерных наук, Католический университет Левена. Архивировано из оригинала (PDF) 5 сентября 2013 г. Проверено 24 апреля 2014 г.

[1]

[2]

[3]

[4]

[5]

v т и Управление памятью
Управление памятью как функция операционной системы
Аппаратное обеспечение	Блок управления памятью (MMU) Резервный буфер трансляции (TLB) Блок управления памятью ввода-вывода (IOMMU)
Виртуальная память	Пейджинг по требованию Пейджинг памяти Таблица страниц Сжатие виртуальной памяти
Сегментация памяти	Защищенный режим Реальный режим Виртуальный режим 8086 сегментация памяти x86
Распределитель памяти	dlmalloc Клад Джемаллок я люблю это мималлок птмаллок
Ручное управление памятью	Статическое распределение памяти Динамическое распределение памяти C создать и удалить (C++)
Сбор мусора	Автоматический подсчет ссылок Сборщик мусора Бём Алгоритм Чейни Сборщик одновременных меток Финализатор Мусор Сборщик мусора в первую очередь Марк – компактный алгоритм Подсчет ссылок Отслеживание сбора мусора Сильная ссылка Слабая ссылка
Безопасность памяти	Переполнение буфера Перечтение буфера Висячий указатель Переполнение стека
Проблемы	Фрагментация Утечка памяти Недоступная память
Другой	Автоматическая переменная Международный симпозиум по управлению памятью Управление памятью по регионам
Управление памятью Виртуальная память Автоматическое управление памятью Алгоритмы управления памятью Программное обеспечение для управления памятью