アニメーションカーソルの脆弱性はWindows2000から使われているコードで、memcpyが影響していたそうです。

「アニメーションカーソルの脆弱性からは学ぶべきことが非常に多かった」とハワード氏。同氏によると、問題のコードはかなり古いもので、SDL以前の Windows 2000から使われていた。Windows Vistaのプロセスでは特定のAPIを禁止し、14万以上の関数に変更を加えて安全な関数を利用するようにしたが、「memcpy」はその対象になっていなかったという

memcpyが使われているものは同じような影響を受ける必要があったリスるんかなぁ。影響でかそうｗ

SDLは完璧ではなく、今後も完璧になることはないだろうとハワード氏は述べ、「われわれにはまだやるべきことがあり、それが今回の脆弱性で示された」と振り返っている。今後は新しいコードで「memcpy」を禁止した場合の影響を検討するなどの措置を取り、今回の教訓に従い、必要に応じて社内教育の向上を図る方針だという。

ockeghemさんとhaswegawayosukeさんにフォロー貰いました。