使用专门设计的大量 AEAD 算法导入密钥可能会导致数组溢出和崩溃或未定义的行为。 值得注意的是,创建一个不仅导致崩溃的漏洞是一项艰巨的任务,但不能排除这种可能性。 开发漏洞的主要困难在于攻击者只能控制序列的每隔一个字节,并且第一个字节始终采用值 0x04。 具有数字密钥验证的软件分发系统是安全的,因为它们使用预定义的密钥列表。
来源: opennet.ru
使用专门设计的大量 AEAD 算法导入密钥可能会导致数组溢出和崩溃或未定义的行为。 值得注意的是,创建一个不仅导致崩溃的漏洞是一项艰巨的任务,但不能排除这种可能性。 开发漏洞的主要困难在于攻击者只能控制序列的每隔一个字节,并且第一个字节始终采用值 0x04。 具有数字密钥验证的软件分发系统是安全的,因为它们使用预定义的密钥列表。
来源: opennet.ru