1、参数未初始化
2、参数未初始化的危害
| CVE | 概述 |
|---|---|
| CVE-2019-7321 | Artifex MuPDF 1.14 版本的函数 fzloadjpeg 中使用未初始化的变量导致缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。 |
| CVE-2019-12730 | FFmpeg 3.2.14 之前版本和 4.1.4 之前的 4.x 版本中的libavformat/aadec.c 文件的 ‘aareadheader’ 函数没有对 sscanf () 函数进行检测,导致允许使用未使用的变量。攻击者可利用该漏洞绕过安全检查。 |
3、示例代码
3.1 缺陷代码
在上述示例代码中,第26行对变量 data 进行定义,但没有进行初始化,随后在第30行 data 作为 printLine() 函数的参数传入,由于此时 data 并没有初始化,其值也是未定义的,因此存在“参数未初始化”问题。
使用代码卫士对上述示例代码进行检测,可以检出“参数未初始化”缺陷,显示等级为中。如图1所示:
图1:参数未初始化检测示例
3.2 修复代码
在上述修复代码中,Samate 给出的修复方式为:在第30行对 data 进行赋值,从而避免了“参数未初始化”。
使用代码卫士对修复后的代码进行检测,可以看到已不存在“参数未初始化”缺陷。如图2:
图2:修复后检测结果
4、如何避免参数未初始化
检查代码逻辑,避免函数参数使用未初始化的值,另外也可以对变量的声明采取默认初始化的策略。
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论