写点什么

Quicksort 算法标准实现中发现严重安全漏洞

  • 2009-04-01
  • 本文字数:806 字

    阅读完需:约 3 分钟

L0pht Heavy Industries 黑客组织的一位研究者发现了 Quicksort 算法标准实现中的一处缺陷,论影响之广,这个漏洞肯定会在所有已知安全漏洞中名列前茅。InfoQ 向 L0pht 组织的 Dildog 询问了漏洞的详情及可能造成的后果。

Dildog 解释说这个漏洞属于利用缓冲区溢出的类型。在这类漏洞中,当用户执行带漏洞的程序时,其权限就会被恶意程序利用来执行任意代码。

本次发现的Quicksort 安全漏洞代码还没有公开,但已有两家独立的安全分析公司确认Quicksort 算法的标准实现中确实存在漏洞。 Wikipedia 上给出的Quicksort 算法伪代码如下:

复制代码
function quicksort(array)
var list less, greater
if length(array) ≤ 1
return array
select and remove a pivot value pivot from array
for each x in array
if x ≤ pivot then append x to less
else append x to greater
return concatenate(quicksort(less), pivot, quicksort(greater))

目前已确认以下库、运行时、产品受到此漏洞的影响:

  • 多个 JVM 实现(包括来自 Sun、IBM、Oracle/BEA 和 Apache 的实现)
  • .Net CLR,3.5 SP1 及以下版本
  • Microsoft Visual C Runtime,9.0 及以下版本
  • Adobe Flash 运行时,10.0 及以下版本
  • glibc,2.6 及以下版本
  • Apache HTTPD,2.2.13 及以下版本
  • 众多集线器、交换机、路由器,包括部分来自 Cisco、Juniper、D-Link、Netgear 及 Linksys 的产品

据 Dildog 所说,该漏洞是在对一台受到未知恶意程序侵害的计算机分析取证时发现的。该恶意程序将受害计算机的所有系统声音都替换成了一曲80 年代流行歌的片段(译注:Rick Astley, Never Gonna Give You Up ),所有系统图片和图标都替换成了笑猫图 Lolcat )。

尽管目前尚未发现第二例感染报告,但我们建议所有 InfoQ 读者提高警惕,若您在电脑上发现任何Rick Astley 或者Lolcat 的踪迹,请立即向有关部门报告。

查看英文原文: Critical Security Vulnerability Found in Quicksort

2009-04-01 00:012742
用户头像

发布了 225 篇内容, 共 63.5 次阅读, 收获喜欢 50 次。

关注

评论

发布
暂无评论
发现更多内容

Knative 助力 XTransfer 加速应用云原生 Serverless 化

阿里巴巴云原生

阿里云 云原生 Knative

面对API的安全风险,WAAP全站防护的作用

德迅云安全杨德俊

从0到1:校园生活圈小程序开发笔记(一)

CC同学

Docker搭建持续集成平台Jenkins最简教程

霍格沃兹测试开发学社

“产研六力”模型:引领企业创新发展的新路径

凌晞

研发管理 产品管理 #研发

Orangedx:引领新一轮 BTCFi 浪潮

股市老人

论低代码开与AI时代的适配性

不在线第一只蜗牛

人工智能 AI 低代码

数据分析:低代码平台助力大数据时代的飞跃发展

快乐非自愿限量之名

数据库 数据分析 低代码

Orangedx:引领新一轮 BTCFi 浪潮

股市老人

事业-最佳实践-编码-提升团队代码质量

南山

团队管理 代码质量 编码质量

苹果头显产品年内中国上市;「美版贴吧」Reddit 苦熬 19 年终上市丨 RTE 开发者日报 Vol.170

声网

事业-最佳实践-编码-单一职责判断

南山

设计模式 设计原则 单一职责 类职责 方法职责

电源缓启动(软起动)原理

梦笔生花

芯片 电源 热插拔

Solidity案例详解(七)供应链金融合约

BSN研习社

区块链 Solidity

怎么制作iOS证书

雪奈椰子

Flink 中 Task(任务)的概念、定位及应用详解与易混淆点梳理

木南曌

flink 实时计算

AI大模型学习:理论基石、优化之道与应用革新

EquatorCoco

人工智能 AI 模型管理

使用Docker搭建MySQL数据库服务

霍格沃兹测试开发学社

关于 ASP.NET Core 内置的依赖注入

雄鹿 @

ASP.NET Core

新质生产力与零信任数据安全:携手共创未来

从云科技

数据安全 零信任 新质生产力

在 ASP.NET Core 中引入 Serilog 记录日志

雄鹿 @

ASP.NET Core

如何选择性价比高的国外云主机服务?

一只扑棱蛾子

云主机 国外云主机

JavaScript中exec()方法详解

百度搜索:蓝易云

JavaScript Linux 运维 hashmap 云服务器

node.js这些常用命令,你都会了吗?

霍格沃兹测试开发学社

适应多样化需求:WASM 插件在全链路灰度发布中的应用

阿里巴巴云原生

阿里云 微服务 云原生

XPath定位如何在App自动化测试中大显神威

霍格沃兹测试开发学社

轻松搞定企业管理:这10个免费模板值得收藏!

彭宏豪95

企业管理 在线白板 企业管理软件 办公软件 效率软件

ConcurrentHashMap是如何保证线程安全的

百度搜索:蓝易云

Java Linux hashmap ConcurrentHashMap 云服务器

Quicksort算法标准实现中发现严重安全漏洞_Java_Ryan Slobojan_InfoQ精选文章