VN



VN
BigGo MagVề BigGoNghề nghiệpLiên hệ với chúng tôiUser TermsTrung tâm hỗ trợ
© 2024 BigGo
Cài đặt
Công cụ hỗ trợ mua sắm BigGo
Tin tức
Công nghệ
Bảo mật
Software
0day Vulnerability

Lo ngại về bảo mật trong LibNSFB: Lỗ hổng tràn số nguyên gây tranh cãi trong cộng đồng lập trình viên

BigGo Editorial Team
Lo ngại về bảo mật trong LibNSFB: Lỗ hổng tràn số nguyên gây tranh cãi trong cộng đồng lập trình viên

Việc phát hiện ra một lỗ hổng tràn số nguyên tiềm ẩn trong LibNSFB, một thư viện trừu tượng framebuffer được thiết kế cho dự án trình duyệt NetSurf, đã làm dấy lên một cuộc thảo luận kỹ thuật sôi nổi trong cộng đồng lập trình viên. Phát hiện này nhấn mạnh những thách thức đang diễn ra trong việc tạo ra các thư viện đồ họa bảo mật và đa nền tảng.

Lỗ hổng bảo mật

Một lập trình viên đã phát hiện ra lỗ hổng tràn số nguyên trong hàm nsfb_set_geometry() của LibNSFB. Vấn đề xuất phát từ phép nhân không được kiểm tra giữa các số nguyên có dấu khi tính toán kích thước bộ đệm:

endsize = (nsfb->width * nsfb->height * nsfb->bpp) / 8;

Lỗ hổng này có thể dẫn đến hành vi không xác định khi xử lý các kích thước framebuffer lớn, đặc biệt là với các kích thước tiến gần hoặc vượt quá 256 mebibyte trên hệ thống 32-bit.

Tranh luận kỹ thuật

Phát hiện này đã kích hoạt một cuộc thảo luận rộng rãi hơn về việc xác thực đầu vào và tính an toàn trong phép tính số học trong lập trình C:

  1. Xác thực đầu vào : Một số lập trình viên cho rằng các tham số đầu vào cần được xác thực trước khi được truyền vào hàm, trong khi những người khác cho rằng bản thân thư viện nên thực hiện kiểm tra giới hạn phù hợp.

  2. Giới hạn thực tế : Mặc dù về mặt lý thuyết là có vấn đề, nhưng nhiều lập trình viên chỉ ra rằng hầu hết các trường hợp sử dụng thực tế sẽ không gặp phải vấn đề này, vì độ phân giải màn hình thông thường nằm trong giới hạn an toàn.

  3. Đánh đổi trong triển khai : Cuộc tranh luận mở rộng đến việc liệu có thực tế hay không khi thực hiện kiểm tra cho mọi phép toán số học, xét đến tác động về hiệu suất và độ phức tạp của mã.

Về LibNSFB

LibNSFB là một thư viện trừu tượng framebuffer được cấp phép MIT, cung cấp giao diện chung cho các ngữ cảnh hiển thị khác nhau, bao gồm:

  • Linux framebuffer
  • X Windows System
  • SDL
  • VNC
  • ABLE framebuffer

Thư viện này nhằm cung cấp một lớp trừu tượng rõ ràng cho các thao tác đồ họa trên các nền tảng khác nhau, làm cho nó đặc biệt có giá trị cho các dự án yêu cầu tính tương thích đa nền tảng mà không cần quá nhiều phụ thuộc.

Các giải pháp thay thế

Để đáp ứng với cuộc thảo luận, cộng đồng đã đề xuất một số giải pháp thay thế:

  • Fenster - Một giải pháp toàn diện hơn bao gồm cả xử lý đầu vào
  • MiniFB - Một thư viện framebuffer nhẹ khác
  • Yeso - Một giải pháp nhỏ gọn (dưới 20KB) chỉ hỗ trợ TrueColor

Hướng đi tiếp theo

Việc phát hiện ra lỗ hổng này là một lời nhắc nhở về tầm quan trọng của việc xác thực đầu vào mạnh mẽ và cân nhắc cẩn thận các phép toán số học trong lập trình hệ thống. Mặc dù LibNSFB tiếp tục phục vụ mục đích của nó trong dự án trình duyệt NetSurf, cuộc thảo luận của cộng đồng đã làm nổi bật các lĩnh vực cần cải thiện trong các bản cập nhật tương lai.

Tin tức liên quan