写点什么

Quicksort 算法标准实现中发现严重安全漏洞

  • 2009-04-01
  • 本文字数:806 字

    阅读完需:约 3 分钟

L0pht Heavy Industries 黑客组织的一位研究者发现了 Quicksort 算法标准实现中的一处缺陷,论影响之广,这个漏洞肯定会在所有已知安全漏洞中名列前茅。InfoQ 向 L0pht 组织的 Dildog 询问了漏洞的详情及可能造成的后果。

Dildog 解释说这个漏洞属于利用缓冲区溢出的类型。在这类漏洞中,当用户执行带漏洞的程序时,其权限就会被恶意程序利用来执行任意代码。

本次发现的Quicksort 安全漏洞代码还没有公开,但已有两家独立的安全分析公司确认Quicksort 算法的标准实现中确实存在漏洞。 Wikipedia 上给出的Quicksort 算法伪代码如下:

复制代码
function quicksort(array)
var list less, greater
if length(array) ≤ 1
return array
select and remove a pivot value pivot from array
for each x in array
if x ≤ pivot then append x to less
else append x to greater
return concatenate(quicksort(less), pivot, quicksort(greater))

目前已确认以下库、运行时、产品受到此漏洞的影响:

  • 多个 JVM 实现(包括来自 Sun、IBM、Oracle/BEA 和 Apache 的实现)
  • .Net CLR,3.5 SP1 及以下版本
  • Microsoft Visual C Runtime,9.0 及以下版本
  • Adobe Flash 运行时,10.0 及以下版本
  • glibc,2.6 及以下版本
  • Apache HTTPD,2.2.13 及以下版本
  • 众多集线器、交换机、路由器,包括部分来自 Cisco、Juniper、D-Link、Netgear 及 Linksys 的产品

据 Dildog 所说,该漏洞是在对一台受到未知恶意程序侵害的计算机分析取证时发现的。该恶意程序将受害计算机的所有系统声音都替换成了一曲80 年代流行歌的片段(译注:Rick Astley, Never Gonna Give You Up ),所有系统图片和图标都替换成了笑猫图 Lolcat )。

尽管目前尚未发现第二例感染报告,但我们建议所有 InfoQ 读者提高警惕,若您在电脑上发现任何Rick Astley 或者Lolcat 的踪迹,请立即向有关部门报告。

查看英文原文: Critical Security Vulnerability Found in Quicksort

2009-04-01 00:012747
用户头像

发布了 225 篇内容, 共 63.8 次阅读, 收获喜欢 50 次。

关注

评论

发布
暂无评论
发现更多内容

谷歌推出“能讲会听”的大语言模型 AudioPaLM,实现语音理解和生成

Zilliz

谷歌 AIGC 大语言模型

数字孪生城市革命!低代码开发平台引爆智慧未来

EquatorCoco

低代码 低代码开发 数字孪生城市

AI+低代码:解密AI赋能,释放创新力量!

快乐非自愿限量之名

AI 低代码

陶哲轩甩出调教GPT-4聊天记录,点击领取大佬的研究助理

Openlab_cosmoplat

开源社区 GPT

2023年度解决方案大奖花落用友,人才发展解决方案备受瞩目

用友BIP

数智人力

国外主机引领你的网站征服全球!

一只扑棱蛾子

国外主机

两行CSS帮助页面提升了近7倍渲染性能!

高端章鱼哥

CSS 前端

6 种方式读取 Springboot 的配置,老鸟都这么玩(原理+实战)

快乐非自愿限量之名

开发语言 spring-boot

浅谈全面预算在交通运输与物流行业的应用

用友BIP

全面预算

2023年,中小企业的发展新风向

互联网工科生

低代码 企业 数字化

突破边界:高性能计算引领LLM驶向通用人工智能AGI的创新纪元

GPU算力

国企为什么要建设数智底座?

用友BIP

数智底座 Pass平台

Wise 的平台工程 KPI 探索之旅

快乐非自愿限量之名

KPI 平台工程 wise

智慧垃圾分类处理3D可视化系统

2D3D前端可视化开发

智慧环卫 智慧垃圾处理 智慧垃圾分类 智慧环保

共建智能汽车数据管理方案 | 4.15 IoTDB X EMQ 主题 Meetup 回顾

Apache IoTDB

智能汽车 emq IoTDB

略施小计,拥有自己的GPT

高端章鱼哥

人工智能 GPT ChatGPT

前端如何入门 Go 语言

高端章鱼哥

前端 Go 语言

个推文案圈人模型助力TT语音智选人群,实现消息推送点击率提升120%

个推

消息推送 移动开发

阿里云EMAS超级App助力Agmo电动车超级应用程序发布

移动研发平台EMAS

阿里云 超级app解决方案

谁与争锋!手机直播源码知识分享之主播PK功能

山东布谷科技

软件开发 源码搭建 手机直播源码 手机直播

AI时代风暴:低代码开发平台引领未来革命

不在线第一只蜗牛

人工智能 AI 低代码 数字化

国内首发|性能飙升100% 焱融全闪存储成功适配 InfiniBand 400Gbps 网络

焱融科技

#分布式文件存储 #文件存储 #全闪存储 #高性能存储

实录分享 | Alluxio Operator一体化部署方案

Alluxio

分布式 operator Alluxio 大数据 开源 容器化部署

一文了解Java低代码开发平台

互联网工科生

Java 低代码 JNPF java低代码开发平台

SOFAStack 的下一个五年

SOFAStack

开源 SOFA 程序员 java

镭速——简单、快速、自动备份数据到云端

镭速

2023“科创中国”大湾区青年百人会论坛即将召开

飞桨PaddlePaddle

人工智能 百度 paddle 飞桨

Quicksort算法标准实现中发现严重安全漏洞_Java_Ryan Slobojan_InfoQ精选文章