Le langage C est un magnifique outil pédagogique pour enseigner le concept de mémoire, puisqu’il laisse la main au développeur pour la gérer. Mais on le sait, cet attrait n’en est pas un quand on parle de sûreté d’exécution, puisque ce langage est connu pour ne pas aider le développeur pour détecter les usages illégaux liés à la mémoire. Le langage Rust a attaqué le problème en rendant explicite le concept de durée de vie. Le langage Safe C++ tente quant à lui d’introduire ce concept en C++. Il y a plus de vingt ans, splint proposait déjà un concept moins ambitieux pour C. Et maintenant certains fous essaient de le porter vers C++, à travers des extensions de Clang. Quelles sont donc toutes ces approches ?
Inutile de chercher bien loin pour comprendre que renvoyer l’adresse d’une variable allouée sur la pile est à la fois une erreur de programmation en C et C++, et une faille de sécurité potentielle : elle a un petit nom parmi les Common Weakness Enumeration, la CWE 562, Return of Stack Variable Address.
Pour commencer cet article, nous allons utiliser un idiome assez simpliste, mais qui nous permet de nous concentrer sur le fond et l’analyse du concept associé à cette vulnérabilité, l’analyse de durée de vie. On considérera une fonction qui accède à une valeur dans un tableau à travers un indice et renvoie une référence vers cette valeur. Et c’est tout !
Notre angle d’observation sera la mémoire vers laquelle pointe la valeur de retour de cette fonction, qui possède cette mémoire, est-ce que cette mémoire est toujours valide, ce genre de choses.
En Python, cela donnerait :
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première