写点什么

Quicksort 算法标准实现中发现严重安全漏洞

  • 2009-04-01
  • 本文字数:806 字

    阅读完需:约 3 分钟

L0pht Heavy Industries 黑客组织的一位研究者发现了 Quicksort 算法标准实现中的一处缺陷,论影响之广,这个漏洞肯定会在所有已知安全漏洞中名列前茅。InfoQ 向 L0pht 组织的 Dildog 询问了漏洞的详情及可能造成的后果。

Dildog 解释说这个漏洞属于利用缓冲区溢出的类型。在这类漏洞中,当用户执行带漏洞的程序时,其权限就会被恶意程序利用来执行任意代码。

本次发现的Quicksort 安全漏洞代码还没有公开,但已有两家独立的安全分析公司确认Quicksort 算法的标准实现中确实存在漏洞。 Wikipedia 上给出的Quicksort 算法伪代码如下:

复制代码
function quicksort(array)
var list less, greater
if length(array) ≤ 1
return array
select and remove a pivot value pivot from array
for each x in array
if x ≤ pivot then append x to less
else append x to greater
return concatenate(quicksort(less), pivot, quicksort(greater))

目前已确认以下库、运行时、产品受到此漏洞的影响:

  • 多个 JVM 实现(包括来自 Sun、IBM、Oracle/BEA 和 Apache 的实现)
  • .Net CLR,3.5 SP1 及以下版本
  • Microsoft Visual C Runtime,9.0 及以下版本
  • Adobe Flash 运行时,10.0 及以下版本
  • glibc,2.6 及以下版本
  • Apache HTTPD,2.2.13 及以下版本
  • 众多集线器、交换机、路由器,包括部分来自 Cisco、Juniper、D-Link、Netgear 及 Linksys 的产品

据 Dildog 所说,该漏洞是在对一台受到未知恶意程序侵害的计算机分析取证时发现的。该恶意程序将受害计算机的所有系统声音都替换成了一曲80 年代流行歌的片段(译注:Rick Astley, Never Gonna Give You Up ),所有系统图片和图标都替换成了笑猫图 Lolcat )。

尽管目前尚未发现第二例感染报告,但我们建议所有 InfoQ 读者提高警惕,若您在电脑上发现任何Rick Astley 或者Lolcat 的踪迹,请立即向有关部门报告。

查看英文原文: Critical Security Vulnerability Found in Quicksort

2009-04-01 00:012735
用户头像

发布了 225 篇内容, 共 63.3 次阅读, 收获喜欢 50 次。

关注

评论

发布
暂无评论
发现更多内容

云原生实力再获认可!腾讯云云原生拿下重量级奖项

Geek_2d6073

华为云专家出品《字节码编程指南》电子书上线

华为云PaaS服务小智

云计算 字节码编程 华为云

推荐6款开源免费工具

伤感汤姆布利柏

拥抱创新 争创一流 酷克数据入选北京市“专精特新中小企业”

酷克数据HashData

提高网站可用性需要真家伙,华为云网站高可用解决方案有何亮点?

平平无奇爱好科技

单色和彩色LED显示屏

Dylan

场景 使用技巧 显示器 LED显示屏 全彩LED显示屏

哪家好用?四款国内外远程桌面软件横测:ToDesk、向日葵、TeamViewer、AnyDesk

热爱编程的小白白

完全兼容DynamoDB协议!GaussDB(for Cassandra)为NoSQL注入新活力

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 7 月 PK 榜

如何设计一个最简化的推荐系统

快乐非自愿限量之名

框架开发 系统框架

分享6款常用的开源工具(白嫖党入)

树上有只程序猿

NFTScan | 06.26~07.02 NFT 市场热点汇总

NFT Research

热点 NFT\

MAYA 2024和之前版本相比有哪些变化?

Finovy Cloud

九章云极发布大模型时代下全新产品系列 ,逐浪算力x软件万亿级市场|TE洞察

TE智库

开源 大模型 AIGC

万字血书Vue—Vue语法

不在线第一只蜗牛

Vue 教程 语法

华为扫地僧:揭秘IoT+鸿蒙帮助企业突围物联网安全问题

华为云开发者联盟

物联网 华为云 华为云开发者联盟 企业号 7 月 PK 榜

聊聊Excel解析:如何处理百万行EXCEL文件? | 京东云技术团队

京东科技开发者

POI 内存优化 企业号 7 月 PK 榜 excel解析

关于序列化与反序列化MessagePack的实践 | 京东云技术团队

京东科技开发者

序列化 反序列化 企业号 7 月 PK 榜 MessagePack 字节序列

一文了解AppSec,以及如何通过Perforce工具保障应用程序防护

龙智—DevSecOps解决方案

APP开发 应用程序安全 AppSec

​阻抗计算,真的没有那么难!

华秋PCB

工具 电路 阻抗 PCB PCB设计

怎么样可以算一名云原生工程师?

高端章鱼哥

云原生

保姆级教程:带你体验华为云测试计划CodeArts TestPlan

华为云开发者联盟

云计算 华为云 华为云开发者联盟 企业号 7 月 PK 榜

Jmeter压测实战:Jmeter二次开发之自定义函数 | 京东云技术团队

京东科技开发者

测试 Jmeter 压测 企业号 7 月 PK 榜 插件化机制

《golong入门教程📚》,从零开始入门❤️(建议收藏⭐️)

不在线第一只蜗牛

教程 Go 语言

【直播预告】HarmonyOS极客松赋能直播第四期:HarmonyOS开发经验分享

HarmonyOS开发者

HarmonyOS

数据库中用户删除不掉总是报错,依赖如何处理干净?

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 7 月 PK 榜

自动化流行于虚拟制作行业,Perforce推出免费API助力

龙智—DevSecOps解决方案

ci API Helix Core 虚拟制作

互联网高可用架构探讨 | 京东云技术团队

京东科技开发者

高可用 架构设计 硬件架构 网络架构 企业号 7 月 PK 榜

Quicksort算法标准实现中发现严重安全漏洞_Java_Ryan Slobojan_InfoQ精选文章