LOCRET.ARG

関数によってローカル変数のアドレスが返されました

LOCRET.ARG チェッカーは、関数が、引数によって参照されたメモリにアドレスを作成込むことにより、ローカル変数のアドレスを返すインスタンスを検出します。

脆弱性とリスク

ローカル変数はスタックに割り当てられるため、関数がポインターを変数に返すとき、スタックアドレスが返されています。このアドレスは関数から戻った後は無効になります。このため、このアドレスにアクセスすると、アプリケーションが予期しない動作 (通常、プログラムクラッシュ) をする可能性があります。

脆弱コード例

1
2
3
4
5
6
7
8
9
10
11
  #include <stdlib.h>
  
  void func_ARG(int **pp, unsigned n)
  {
      int aux;
      if (n == 1) {
          *pp = &aux;
      } else {
          *pp = (int *)malloc(n * sizeof(int));
     }
 }

Klocwork は 7 行目でフラグを立て、関数 func_ARG が引数を介してローカル変数のアドレスを返すことを指摘します。ローカル変数 aux のアドレスは *pp に割り当てることができます。これは関数が戻るときに使用できます。

関連チェッカー

• LOCRET.GLOB
• LOCRET.RET

外部参考資料

• CERT DCL30-C: 適切なストレージ期間のオブジェクトを宣言する
• CERT EXP54-CPP: 存続期間が過ぎたオブジェクトにアクセスしない
• CWE-416: 解放後の使用
• CWE-562: スタック変数のアドレスを返す
• CWE-672: 期限切れまたはリリース後のリソースでの演算

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Use After Free (解放後の使用)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます