論文の概要: Securing Stack Smashing Protection in WebAssembly Applications

• arxiv url: http://arxiv.org/abs/2410.17925v1
• Date: Wed, 23 Oct 2024 14:41:59 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-10-24 13:54:20.753376
• Title: Securing Stack Smashing Protection in WebAssembly Applications
• Title（参考訳）: WebAssemblyアプリケーションにおけるスタックスマッシング保護のセキュア化
• Authors: Quentin Michaud, Yohan Pipereau, Olivier Levillain, Dhouha Ayed,
• Abstract要約: これまでの研究によると、WebAssemblyは効果的な保護メカニズムが欠如しているため、バッファオーバーフローに対して脆弱である。 WebAssemblyスタンドアロンランタイムにおけるStack Smashing Protection(SSP)の実装を評価し、現在の実装における2つの弱点を明らかにする。
• 参考スコア（独自算出の注目度）: 0.0
• License:
• Abstract: WebAssembly is an instruction set architecture and binary format standard, designed for secure execution by an interpreter. Previous work has shown that WebAssembly is vulnerable to buffer overflow due to the lack of effective protection mechanisms. In this paper, we evaluate the implementation of Stack Smashing Protection (SSP) in WebAssembly standalone runtimes, and uncover two weaknesses in their current implementation. The first one is the possibility to overwrite the SSP reference value because of the contiguous memory zones inside a WebAssembly process. The second comes from the reliance of WebAssembly on the runtime to provide randomness in order to initialize the SSP reference value, which impacts the robustness of the solution. We address these two flaws by hardening the SSP implementation in terms of storage and random generator failure, in a way that is generalizable to all of WebAssembly. We evaluate our new, more robust, solution to prove that the implemented improvements do not reduce the efficiency of SSP.
• Abstract（参考訳）: WebAssemblyはインタプリタによるセキュアな実行のために設計された命令セットアーキテクチャとバイナリフォーマット標準である。 これまでの研究によると、WebAssemblyは効果的な保護メカニズムが欠如しているため、バッファオーバーフローに対して脆弱である。 本稿では、WebAssemblyスタンドアロンランタイムにおけるStack Smashing Protection(SSP)の実装を評価し、現在の実装における2つの弱点を明らかにする。 ひとつは、WebAssemblyプロセス内の連続したメモリゾーンのため、SSP参照値を上書きできることだ。 2つ目は、SSP参照値を初期化するためにランダム性を提供するためのWebAssemblyのランタイムへの依存によるもので、ソリューションの堅牢性に影響を与える。 これら2つの欠陥に対処するために、ストレージとランダムジェネレータの障害の観点からSSPの実装を、WebAssemblyのすべてに一般化可能な方法で強化する。 実装された改善がSSPの効率を低下させないことを証明するため、我々は、新しい、より堅牢なソリューションを評価した。

関連論文リスト

• Comparing Security and Efficiency of WebAssembly and Linux Containers in Kubernetes Cloud Computing [0.0]
  本研究では、コンテナを使用したクラウドコンピューティングにおいて、信頼できないコードを実行するための、Linuxコンテナのよりセキュアで効率的な代替手段としてのWebAssemblyの可能性について検討する。 セキュリティ分析では、信頼できないコードを実行する場合、LinuxコンテナとWebAssemblyの両方がアタックサーフェスを持っていることが示されている。
  論文  参考訳（メタデータ） (2024-11-02T23:35:19Z)
• WebAssembly and Security: a review [0.8962460460173961]
  私たちは7つの異なるセキュリティカテゴリを識別することで121の論文を分析します。 このギャップを埋めるために、WebAssemblyのセキュリティを扱う研究の包括的なレビューを提案しています。
  論文  参考訳（メタデータ） (2024-07-17T03:37:28Z)
• AdaShield: Safeguarding Multimodal Large Language Models from Structure-based Attack via Adaptive Shield Prompting [54.931241667414184]
  textbfAdaptive textbfShield Promptingを提案する。これは、MLLMを構造ベースのジェイルブレイク攻撃から守るための防御プロンプトで入力をプリペイドする。 我々の手法は、構造に基づくジェイルブレイク攻撃に対するMLLMの堅牢性を一貫して改善することができる。
  論文  参考訳（メタデータ） (2024-03-14T15:57:13Z)
• Defending Large Language Models against Jailbreak Attacks via Semantic Smoothing [107.97160023681184]
  適応型大規模言語モデル(LLM)は、ジェイルブレイク攻撃に対して脆弱である。 提案するSEMANTICSMOOTHは,与えられた入力プロンプトのセマンティック変換されたコピーの予測を集約するスムージングベースのディフェンスである。
  論文  参考訳（メタデータ） (2024-02-25T20:36:03Z)
• SALAD-Bench: A Hierarchical and Comprehensive Safety Benchmark for Large Language Models [107.82336341926134]
  SALAD-Benchは、大規模言語モデル(LLM)を評価するために特別に設計された安全ベンチマークである。 それは、その大規模な、豊富な多様性、三つのレベルにまたがる複雑な分類、多目的機能を通じて、従来のベンチマークを超越している。
  論文  参考訳（メタデータ） (2024-02-07T17:33:54Z)
• SoK: Analysis techniques for WebAssembly [0.0]
  WebAssemblyは低レベルのバイトコード言語で、C、C++、Rustといった言語をネイティブに近いパフォーマンスでブラウザで実行できる。 CやC++のようなメモリ不安全な言語の脆弱性は、WebAssemblyバイナリの脆弱性に変換できる。 WebAssemblyは暗号鍵のような悪意ある目的で使われてきた。
  論文  参考訳（メタデータ） (2024-01-11T14:28:13Z)
• A Comprehensive Trusted Runtime for WebAssembly with Intel SGX [2.6732136954707792]
  TEE内でWebAssemblyコンパイルされたアプリケーションを実行するための信頼できるランタイムであるTwineを紹介します。 標準のWebAssemblyシステムインターフェース(WASI)を拡張し、I/OにフォーカスしたコントロールされたOSサービスを提供する。 汎用ベンチマークと実世界のアプリケーションを用いてその性能を評価し,最先端のソリューションと比較した。
  論文  参考訳（メタデータ） (2023-12-14T16:19:00Z)
• The Nonce-nce of Web Security: an Investigation of CSP Nonces Reuse [3.494275179011026]
  本研究は野生におけるCSPナンスの使用を計測・分析するものである。 ナンスベースのポリシーを展開している2271のサイトのうち、598のサイトは同じナンス値を複数のレスポンスで再利用していることがわかった。
  論文  参考訳（メタデータ） (2023-09-14T15:15:44Z)
• Learning towards Synchronous Network Memorizability and Generalizability for Continual Segmentation across Multiple Sites [52.84959869494459]
  臨床実践では、複数のサイトから連続的なデータストリームを継続的に学習するために、セグメンテーションネットワークが必要であることが多い。 既存の方法は、通常、以前のサイトのネットワーク記憶可能性や、目に見えないサイトの一般化可能性に制限される。 本稿では,SMG学習フレームワークの提案により,同期記憶可能性と一般化可能性の問題に取り組むことを目的とする。
  論文  参考訳（メタデータ） (2022-06-14T13:04:36Z)
• Replay and Synthetic Speech Detection with Res2net Architecture [85.20912636149552]
  既存のリプレイと合成音声検出のアプローチは、スプーフィング攻撃に対する一般化性に欠けていた。 本研究では、Res2Netと呼ばれる新しいモデル構造を活用して、アンチスプーフィング対策の一般化性を改善することを提案する。
  論文  参考訳（メタデータ） (2020-10-28T14:33:42Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。