背景
Node.js 社区近期在美国独立日周末的狂欢之时爆出漏洞
https://medium.com/@iojs/important-security-upgrades-for-node-js-and-io-js-8ac14ece5852
先给出一段会触发该漏洞的代码
直接在v0.12.4版本的node上运行,立即crash。
下面我们详细的分析下该漏洞的原理。
调用栈
上面的代码构造了一个长度为1025的buffer,然后调用该buffer的toString方法解码成utf8字符,平时开发中再平常不过的调用了。但是为什么在这里会导致crash呢,和平时的写法到底有什么差别?
示例代码虽少,但是里面涉及到的各种调用可不少,从js到node中的c++,再到更底层的v8调用。大致过程如下图所示。
关键调用
导致该漏洞产生的有几个比较关键的调用过程。
Ut
继续阅读与本文标签相同的文章
-
OpenFlow与VxLAN在云网络的应用
2026-05-22栏目: 教程
-
数据中心模块化和标准化(5-4)
2026-05-22栏目: 教程
-
数据中心模块化和标准化(5-5)
2026-05-22栏目: 教程
-
异地多活数据流基础设施DRC 双11支持571亿交易额背后的武器
2026-05-22栏目: 教程
-
阿里巴巴曹捷: 我们愿意率先跨出SDN的第一步,并引领这股技术浪潮
2026-05-22栏目: 教程