Static Analysis to Detect Memory Corruption Vulnerabilities

Abstract

Memory corruption attacks have existed for a long time, and despite that, they are still considered a major threat to modern software. In fact, memory safety is such a major problem that in 2023, the U.S. Cybersecurity and Infrastructure Security Agency and in the year 2024, the Office of the National Cyber Director released articles, addressing the need for memory safety in modern and future software. The most widespread solution to memory safety problems is the use of memory-safe programming languages. In addition to not solving the problem completely, such an approach also does not take into consideration all the software that is written using non-memory-safe programming languages. Due to different constraints, it is often not realistic to rewrite a whole application to another programming language. The need for code written in a non-memory-safe programming language to be secure has several solutions with their advantages and downsides. This paper focuses on one such solution, that is, static code analysis. Static code analysis inspects the code without executing it and can detect a wide range of vulnerabilities. This paper contributed to the field by examining the cause of modern memory corruption bugs in the code. During the analysis, modern static code analyzers were tested to determine whether static code analysis is an effective measure against memory corruption vulnerabilities. In addition, a test suite of simplified real-world vulnerabilities was created for further refinement of static code analysis tools.

Mälu korruptsiooni rünnakud on pikaaegne probleem ning vaatamata sellele, on see endiselt kaasaegse tarkvara jaoks tõsine ohutegur. Mälu turvalisus on laialdane probleem, mistõttu 2023. aastal avaldas Ameerika küberkaitseagentuur ja 2024. aastal Ameerika Valge Maja Riikliku Küberturvalisuse Direktorite Büroo artiklid, milles käsitleti vajadust mälu turvalisuse tagamiseks kaasaegses ja tuleviku tarkvaras. Kõige levinum mälu turvalisuse probleemide lahendus on mälu turvaliste programmeerimiskeelte kasutamine. Antud viis aga ei lahenda probleemi täielikult ning lisaks ei võta selline lähenemine arvesse kogu tarkvara, mis on kirjutatud mitte mälu turvalistes programmeerimiskeeltes. Erinevate piirangute tõttu ei ole sageli realistlik kogu rakendust kirjutada ümber teise, ehk mälu turvalisse programmeerimiskeelde, vaid lisaks on aktuaalne ja oluline mitte mälu turvalises programmeerimiskeeles kirjutatud koodi turvalisus. Selle saavutamiseks on olemas mitmeid lahendusi, millel on oma eelised ja puudused. Käesolev töö keskendub ühele võimalikule lahendusele – staatilisele koodianalüüsile. Staatiline koodianalüüs uurib koodi seda käivitamata ning on võimeline tuvastama laias ulatuses haavatavusi. Käesolev töö annab panuse antud valdkonda, uurides kaasaegsete mälukorruptsiooni vigade põhjuseid koodis. Analüüsi käigus testiti kaasaegseid staatilisi koodianalüüsi tööriistu, et teha kindlaks, kas staatiline koodianalüüs on tõhus meede mälu korruptsioonist tulenevate haavatavuste vastu. Lisaks loodi testide komplekt lihtsustatud reaalsetest haavatavustest, et aidata staatilisi koodianalüüsi tööriistu edaspidiselt arendada.