0001login:Penguin
2017/01/16(月) 02:08:13.77ID:TpQvp0+pC言語の標準ライブラリをマイクロソフトが改良してたんだな
伝統的な関数をばっかり切り捨てて、マイクロソフトが作った関数に置きかえられてた
お前ら、C言語を安全にしてくれたマイクロソフトに感謝するんだな
https://ja.wikipedia.org/wiki/Gets
> gets は、C言語における標準入力から1行分の文字列を取り出す関数である。
> この関数はバッファオーバーランを防ぐことが不可能という致命的な脆弱性を持っており、
> 2011年の改定のC11の標準CライブラリやC++14の標準C++ライブラリより廃止された[1]。
https://www.jpcert.or.jp/sc-rules/c-str07-c.html
> C 標準の附属書 K (規定) "Bounds-checking interfaces" [ISO/IEC 9899:2011] は、
> 既存の標準文字列処理関数に代わり、より安全に利用できるように設計された代替関数を規定している。
> たとえば、strcpy()、strcat()、strncpy() および strncat() の代替関数として、
> それぞれ strcpy_s()、strcat_s()、strncpy_s() および strncat_s() 関数を定義している。
>
> 附属書 K の関数は、過去 10 年間に起きた広く知られている多数のセキュリティインシデントに対応して、
> レガシーコードの改善に役立てる目的で Microsoft によって作成された。これらの関数はその後、
> プログラミング言語 C の国際標準化ワーキンググループ(ISO/IEC JTC1/SC22/WG14)へ、標準化のために提案された。
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/c910.html
> 第10章 著名な脆弱性対策
> C11:2011年以降のC言語仕様
> 2011年に発行された C言語仕様には対策が含まれている。
>
> ISO/IEC 9899: 2011
> Information technology -- Programming languages -- C
>
> この「Annex K」に「Bounds-checking interfaces」が規範的(normative)な付録として規定されている。
>
> あふれ対策
> バッファオーバーフロー(あふれ)対策が施された strcpy_s 関数をはじめとする 37の関数が導入された。
