Detecção de vulnerabilidades de inteiros na adaptação de software de 32 para 64 bits
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2007 |
| Tipo de documento: | Dissertação |
| Idioma: | por |
| Título da fonte: | Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) |
| Texto Completo: | http://hdl.handle.net/10451/1203 |
Resumo: | Tese de mestrado em Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2007 |
| id |
RCAP_c5583b47863c2be367a4415b30bdc81b |
|---|---|
| oai_identifier_str |
oai:repositorio.ulisboa.pt:10451/1203 |
| network_acronym_str |
RCAP |
| network_name_str |
Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) |
| repository_id_str |
https://opendoar.ac.uk/repository/7160 |
| spelling |
Detecção de vulnerabilidades de inteiros na adaptação de software de 32 para 64 bitsInformáticaTeses de mestradoTese de mestrado em Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2007Os processadores de 64 bits, comercializados por fabricantes como a Intel e a AMD, começaram a equipar os mais recentes computadores, sendo muito do software neles executado desenvolvido inicialmente para arquitecturas de 32 bits. As aplicações concebidas na linguagem de programação C para a arquitectura de 32 bits, ao serem portadas para 64 bits, podem ficar com vulnerabilidades relacionadas com a manipulação de inteiros. Esta tese estuda as vulnerabilidades que podem surgir quando se adapta ( porta ) sem os necessários cuidados software de 32 para 64 bits, considerando o modelo de dados LP64, muito utilizado em software de código aberto. Também propõe a ferramenta DEEEP que faz a detecção dessas vulnerabilidades através de análise estática de código fonte. A ferramenta é baseada em duas ferramentas de análise estática de código, de código aberto, que são utilizadas para encontrar bugs na manipulação de inteiros, através de verificação de tipos, e para fazer análise de fluxo de dados, para verificar se funções perigosas (p.ex., memcpy, strcpy) estão acessíveis de fora do programa. Após estas duas formas de análise, a ferramenta DEEEP correlaciona a informação delas resultante, identificando se os bugs encontrados são realmente vulnerabilidades, ou seja, se são atacáveis. São apresentados resultados experimentais da utilização da ferramenta com código vulnerável sintético, criado especificamente para avaliar a ferramenta, e com diversos pacotes de código aberto.64-bit processors, available from manufacturers such as Intel and AMD, started to equip many recent computers, but much of the software running in them has initially been developed for 32-bit architectures. Applications designed in the C programming language for 32-bit architecture when adapted to 64 bits can show vulnerabilities related to integer handling. This thesis studies the vulnerabilities that can arise when porting software from 32 to 64 bits without the necessary care, considering the LP64 data model, widely used in open source software. This thesis also proposes the DEEEP, a tool that detects these vulnerabilities through static analysis of source code. The tool is based on two open source static analysis tools. Type checking is used for finding bugs on the way integers are handled, and data-flow analysis is used to see if hazardous functions (eg. memcpy, strcpy) are accessible from outside the program. After these two forms of analysis, the DEEEP tool correlates their outputs, identifying if the found bugs are really vulnerabilities, i. e., if they are attackable. The tool was evaluated using synthetic code and several open source packages, like Sendmail.Correia, Miguel Nuno Dias Alves PupoRepositório da Universidade de LisboaMedeiros, Ibéria Vitória de Sousa2010-07-27T08:55:29Z20072007-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfapplication/pdftext/xmlhttp://hdl.handle.net/10451/1203porinfo:eu-repo/semantics/openAccessreponame:Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)instname:FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologiainstacron:RCAAP2025-03-17T12:38:17Zoai:repositorio.ulisboa.pt:10451/1203Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireinfo@rcaap.ptopendoar:https://opendoar.ac.uk/repository/71602025-05-29T02:24:47.879032Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) - FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologiafalse |
| dc.title.none.fl_str_mv |
Detecção de vulnerabilidades de inteiros na adaptação de software de 32 para 64 bits |
| title |
Detecção de vulnerabilidades de inteiros na adaptação de software de 32 para 64 bits |
| spellingShingle |
Detecção de vulnerabilidades de inteiros na adaptação de software de 32 para 64 bits Medeiros, Ibéria Vitória de Sousa Informática Teses de mestrado |
| title_short |
Detecção de vulnerabilidades de inteiros na adaptação de software de 32 para 64 bits |
| title_full |
Detecção de vulnerabilidades de inteiros na adaptação de software de 32 para 64 bits |
| title_fullStr |
Detecção de vulnerabilidades de inteiros na adaptação de software de 32 para 64 bits |
| title_full_unstemmed |
Detecção de vulnerabilidades de inteiros na adaptação de software de 32 para 64 bits |
| title_sort |
Detecção de vulnerabilidades de inteiros na adaptação de software de 32 para 64 bits |
| author |
Medeiros, Ibéria Vitória de Sousa |
| author_facet |
Medeiros, Ibéria Vitória de Sousa |
| author_role |
author |
| dc.contributor.none.fl_str_mv |
Correia, Miguel Nuno Dias Alves Pupo Repositório da Universidade de Lisboa |
| dc.contributor.author.fl_str_mv |
Medeiros, Ibéria Vitória de Sousa |
| dc.subject.por.fl_str_mv |
Informática Teses de mestrado |
| topic |
Informática Teses de mestrado |
| description |
Tese de mestrado em Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2007 |
| publishDate |
2007 |
| dc.date.none.fl_str_mv |
2007 2007-01-01T00:00:00Z 2010-07-27T08:55:29Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10451/1203 |
| url |
http://hdl.handle.net/10451/1203 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf application/pdf text/xml |
| dc.source.none.fl_str_mv |
reponame:Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) instname:FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologia instacron:RCAAP |
| instname_str |
FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologia |
| instacron_str |
RCAAP |
| institution |
RCAAP |
| reponame_str |
Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) |
| collection |
Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) |
| repository.name.fl_str_mv |
Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) - FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologia |
| repository.mail.fl_str_mv |
info@rcaap.pt |
| _version_ |
1833601342497619968 |