本頁面由 Cloud Translation API 翻譯而成。

CVE-2024-4420

受影響的版本: Tink C++ 2.1.2 以下版本。

說明

對手可能會在 Tink C++ 中使用 crypto::tink::JsonKeysetReader 時提供不屬於編碼 JSON 物件，但仍然是有效編碼 JSON 元素 (例如數字或陣列) 的輸入，導致二進位檔當機。這將會因為 Tink 假設任何有效的 JSON 輸入會包含物件而異常終止。
攻擊者在 Tink C++ 中使用加密貨幣::tink::JsonKeysetReader 時，可提供包含許多巢狀 JSON 物件的輸入，導致二進位檔當機。這可能會導致堆疊溢位。

如果從外部不受信任的來源 (例如其他第三方提供的公開金鑰) 讀取 JSON 金鑰組，使用者就會受到這個問題的影響。

除非另有註明，否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權，程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。

上次更新時間：2024-05-21 (世界標準時間)。