CVE-2024-4420
Koleksiyonlar ile düzeninizi koruyun
İçeriği tercihlerinize göre kaydedin ve kategorilere ayırın.
- Etkilenen Sürümler
- Tink C++, 2.1.2 ve önceki sürümler.
Açıklama
Kötü niyetli bir kişi, kodlanmış JSON nesnesi olmayan, ancak yine de sayı veya dizi gibi geçerli bir kodlanmış JSON öğesi olan bir giriş sağlayarak Tink C++'ta SMB::tink::JsonKeysetReader öğesi kullanarak ikili programları çökebilir. Tink, geçerli herhangi bir JSON girişinin nesne içereceğini varsayarak
bu işlem çöker.
Kötü niyetli bir kişi, Tink C++'ta Chromium::tink::JsonKeysetReader öğesi kullanarak, çok sayıda iç içe yerleştirilmiş JSON nesnesi içeren bir giriş sağlayarak ikili programları çökebilir.
Bu, yığın taşmasına neden olabilir.
JSON anahtar kümeleri, güvenilmeyen harici bir kaynaktan (ör. başka bir tarafın sağladığı ortak anahtar) okunursa kullanıcılar bu sorundan etkilenir.
Aksi belirtilmediği sürece bu sayfanın içeriği Creative Commons Atıf 4.0 Lisansı altında ve kod örnekleri Apache 2.0 Lisansı altında lisanslanmıştır. Ayrıntılı bilgi için Google Developers Site Politikaları'na göz atın. Java, Oracle ve/veya satış ortaklarının tescilli ticari markasıdır.
Son güncelleme tarihi: 2024-05-21 UTC.
[[["Anlaması kolay","easyToUnderstand","thumb-up"],["Sorunumu çözdü","solvedMyProblem","thumb-up"],["Diğer","otherUp","thumb-up"]],[["İhtiyacım olan bilgiler yok","missingTheInformationINeed","thumb-down"],["Çok karmaşık / çok fazla adım var","tooComplicatedTooManySteps","thumb-down"],["Güncel değil","outOfDate","thumb-down"],["Çeviri sorunu","translationIssue","thumb-down"],["Örnek veya kod sorunu","samplesCodeIssue","thumb-down"],["Diğer","otherDown","thumb-down"]],["Son güncelleme tarihi: 2024-05-21 UTC."],[[["Tink C++ versions 2.1.2 and earlier are vulnerable to crashes when processing maliciously crafted JSON keysets."],["Attackers can exploit vulnerabilities in `crypto::tink::JsonKeysetReader` by providing malformed JSON input, leading to crashes or stack overflows."],["Users are at risk if they load JSON keysets from untrusted external sources."]]],["Tink C++ versions 2.1.2 and earlier are vulnerable to crashes via `JsonKeysetReader`. Providing non-object JSON input (e.g., numbers or arrays) will cause a crash. Additionally, deeply nested JSON objects can trigger a stack overflow, leading to another crash. This affects users who read JSON keysets from untrusted external sources.\n"]]
