C/C++の危険性の一つにメモリ安全では無い事があります。メモリ安全性とは何かを知るには次の記事を参考になります。

What is memory safety? - The PL Enthusiast

記事ではSoKの論文Eternal War in Memoryであげられたメモリ安全ではないもの、いわゆるメモリアクセスエラーの原因として、次の5つを上げています。

1. buffer overflow バッファーオーバーフロー
2. null pointer dereference ヌルポインタ参照
3. use after free 解放後の使用
4. use of uninitialized memory 未初期化メモリの使用
5. illegal free (of an already-freed pointer, or a non-malloced pointer) (既に解放済みのポインタ、または、未確保のポインタに対する) 不正な解放

これが含まれていなければメモリ安全であるというのは、受動的な定義です。そこで記事では、メモリ安全性を定義し、この5つをどのようにして排除するのかを述べています。(定義の詳細は長くなるので省きます。)

さて、この記事では大きなヒントを与えてくれました。上の5つが起こるような書き方は全て危険と言うことです。

###1. バッファーオーバーフロー

代表的なのはgetsでしょう。getsはバッファーオーバーフローを防ぐ方法がありません。他にも、strcpyやscanfも危険と言われています。では、strcpyではなくstrncpyを使えば安全かというとそうではありません。指定のサイズが間違ってコピー先の領域よりも大きかったら、やはりバッファーオーバーフローが発生します。strcpy_sやstrncpy_sであっても結局は同じ事なのです。下記のコードはxの値が書き換わってしまう可能性があります。(コンパイラや環境によっては、aのサイズチェックを実施し、SIGABRTシグナルで落ちる場合があります)

C
1int x = -1;
2char a[4];
3char *b = "abcdef";
4strncpy(a, b, 5);

それに、もっと簡単なアクセス、それこそ配列への添字アクセスですら危険です。記事の方に例がのっていましたので、引用しましょう。

C
1/* Program 1 */
2int x;
3int buf[4];
4buf[5] = 3; /* overwrites x */

これを防ぐにはどうすれば良いのでしょうか？それは添字アクセスが配列の長さを超えないことを保証するようにプログラミングする以外ありません。上の例では0〜3しか駄目なことは自明ですが、実際はmallocで動的に確保された領域へのアクセスだった場合、どれだけのサイズを確保したのか、アクセスするときにそのサイズを超えていないのか、それを確認し、保証しなければなりません。これはプログラマーの仕事であり、そこに絶対的な安全な書き方など無いのです。

逆に言いますと、唯一の例外であるgetsを除けば、事前条件を保証し、正しい方法であればどれも安全に使用できます。strcpyでも、コピー元の長さが十分に入る領域がコピー先に確保されていることが確認できていれば、安全です。むしろ、そのような場合でもチェックの分だけ遅くなるstrncpyを使う事は無駄であるとすら言えます。

###2. ヌルポインタ参照

ヌルポインタを参照した場合、ほとんどの場合はエラーでプログラムが終了するでしょう。終了する分だけ、まだ安全と言えます。

###3. 解放後の使用

C
1int *a = (int *)malloc(sizeof(int));
2*a = 10;
3free(a);
4int *b = (int *)malloc(sizeof(int));
5*b = 20;
6*a = 30;
7printf("%d\n", *b);

さて、上のプログラムはいくつを出力するでしょうか？答えはわからないです。手元の環境では-O0でコンパイルすると30、-O2でコンパイルすると20でした。

バッファオーバーフローは関数と使い方等が問題でした。しかし、これはfreeの位置の問題です。もし、free(a)が*a = 30より後であれば、何も問題は起きません。しかし、実際はfreeのあとにaを使用しているため問題が起こってしまいます。

メモリをいつ解放するかは重要な問題です。むしろ、脆弱性を防ぐためには、ずっと解放しないでメモリリークでプログラムが終了した方がましとさえ言えます。しかし、実際はプログラムが安定して動作するために、freeはどこかでしなければなりません。そこにプログラマーのジレンマがあります。

###4. 未初期化メモリの使用

C
1void f(void)
2{
3	int x = 10;
4}
5void g(void)
6{
7	int y;
8	printf("%d\n", y);
9}
10int main(void)
11{
12	f();
13	g();
14}

最適化無し(-O0)でコンパイルすると、きっと10が表示されると思います(コンパイラによります)。yは未初期化です。yが何であるのかさっぱりわかりませんし、0であるなど期待をしてもいけません。もし、これがポインタに対する処理だったら…もう、何が起きてもおかしくありません。

###5. 不正な解放

freeは2回呼んでも大丈夫…ということはありません。free直後にNULLを代入して、free(NULL)になるのは安全です。二重解放とはそのことではありません。

C
1int *x = (int *)malloc(sizeof(int));
2*x = 10;
3free(x);
4int *y = (int *)malloc(sizeof(int));
5*y = 20;
6free(x);
7int *z = (int *)malloc(sizeof(int));
8*z = 30;
9printf("%d\n", *y);

これも最適化無し(-O0)であれば30を出すでしょう。freeは領域の開放です。開放された領域は再利用されます。いつどこにどのように再利用されるかわかりません。このコードではxしか解放していないように見えますが、xが解放された後、yはxが使っていた領域を再利用してしまいます。そのあとのfree(x)ではxを解放しているように見えて、実質yも解放しています。そしてzでもまた再利用されて、あらためてyを見に行ったら、zの値になっていたと言うことです。(実際にこうなるかは、コンパイラや最適化によって変わります)

さて、メモリにまつわるところを見てきましたが、添字アクセスからfreeまで安全と言えるような物はCにはないように思えます。そう、Cは常に危険に満ちたデンジャラスな世界なのです。常に、メモリ領域を意識しないとCは書けません。安心安全なCなんて無いのです。

C++はどうでしょう。C++はCのスーパーセットです。**Cとほぼ同じ事ができます。**つまり、C++はCと同じぐらい危険なことをできてしまうと言うことです。

ただ、C++にはCより安全な手法が用意されています。例えばスマートポインタを使えば、freeにまつわる危険性を悉く防ぐことができるでしょう。スマートポインタを使う最大の利点は解放し忘れによるメモリリークを防ぐことでは無く、間違った解放によるメモリアクセス違反を防ぐことです。しかし、スマートポインタを使っていれば完全に安全とは言えません。Cのライブラリとの関係で、どうしてもスマートポインタから生ポインタをとりだして使わなくてはならないときがあるでしょう。取り出した生ポインタがまだ使われているのに、スマートポインタの機能で自動的にdeleteされたら…結局はCの時と同じ事が起きてしまうと言うことです。

他にもSTLのstd::stringやstd::vectorを使えば、Cの配列よりもいささか安全かもしれません。しかし、std::vecotr::atは長さを超えるとエラーになってくれます(エラーになることはむしろ安全であるということです)が、std::vector::operator[]は長さを超えてもエラーになると限らず、何が起きるかわかりません。結局そこは配列への添字アクセスと同じで、プログラマーが責任を持って範囲に収まることを保証しなければなりません。

C++もCと同じく道具の使いようです。Cと比べるとより安全になる手法が多く用意されていますが、メモリ領域を意識しないといけないことは同じです。正しく使わなければ、メモリが破壊され、脆弱性を産むことになるでしょう。

他の言語はメモリ安全性を確保するために、GCの導入、配列の常時範囲チェック、領域の自動拡張などを実装しました。しかし、これられの機能は、純粋な操作に余計な処理がくっつくことになるため、速度低下に繋がります。C/C++が高級言語では未だに最速であるのは、こういった機能をプログラマーの仕事に押しつけることで、必要最低限のチェックや領域の確保・開放を行うことができるからです。これが良い事であるとも悪い事であるとも言えません。

これらのことは、危険性の一つにしか過ぎません。これだけを対策すれば脆弱性が無くなるわけではありません。しかし、(おそらくメモリ安全であると思われる)他言語に比べてC/C++において最も危険なのこのメモリ安全性が無い事だと思います。