ProPolice/SSP (素晴らしい日本のツール) 非常に一般的なスタック攻撃の問題をとらえた gcc の変更 http://www.trl.ibm.com/projects/security/ssp/ ProPolice は OpenBSD に 1 年以上前に統合されたが、その後 26 個以上のバグが発見され修正された ProPolice を組み込んでも組み込まなくても gcc の品質は変わらない StackGuard よりは強力 http://www1.corest.com/files/files/11/StackguardPaper.pdf しかも i386 以外にも有効... カナリア(攻撃検出のための値)を正しい位置に配置する 安全のためスタックのオブジェクトを並べかえる 弱点 : 関数の保護をスキップするアルゴリズムが脆弱 (現在作業中) (-fstack-protector-all でコンパイルしたカーネルは make buildが 1.3% 遅くなる) セキュリティに有用: バグを発見し悪用を防ぐ 非常に安価: だれでも使用できる