LOCRET.GLOB

関数によってグローバル変数内のローカル変数のアドレスが返されました

LOCRET.GLOB チェッカーは、関数が、グローバル変数にアドレスを作成ことにより、ローカル変数のアドレスを返すインスタンスを検出します。

脆弱性とリスク

ローカル変数はスタックに割り当てられるため、関数がポインターを変数に返すとき、スタックアドレスが返されています。このアドレスは関数から戻った後は無効になります。このため、このアドレスにアクセスすると、アプリケーションが予期しない動作 (通常、プログラムクラッシュ) をする可能性があります。

脆弱コード例

1
2
3
4
5
6
7
8
9
10
11
12
13
  #include <stdlib.h>
  
  int *buf;
  
  void func_GLOB(unsigned n)
  {
      int aux;
      if (n == 1) {
          buf = &aux;
     } else {
         buf = (int *)malloc(n * sizeof(int));
     }
 }

Klocwork は、関数 func_GLOB が制御されなくなる 13 行目でフラグを立てます。これは、9 行目でグローバル変数に割り当てられるローカル変数 'aux' が、関数が戻った後で、このグローバル変数を介してアクセスできることを示しています。

関連チェッカー

• LOCRET.ARG
• LOCRET.RET

外部参考資料

• CERT DCL30-C: 適切なストレージ期間のオブジェクトを宣言する
• CERT EXP54-CPP: 存続期間が過ぎたオブジェクトにアクセスしない
• CWE-416: 解放後の使用
• CWE-562: スタック変数のアドレスを返す
• CWE-672: 期限切れまたはリリース後のリソースでの演算

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Use After Free (解放後の使用)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます