漏洞概述 该漏洞涉及 函数在处理多字节 UTF-8 序列时,未验证字节的有效性。这导致读取了无效的 UTF-8 序列,可能引发未初始化内存的读取,进而导致安全问题。 影响范围 受影响文件: 和 具体函数: 问题描述: 函数在处理多字节 UTF-8 序列时,没有验证字节的有效性,导致可能读取未初始化内存。 修复方案 1. 添加验证:在读取每个连续字节之前,验证其是否为有效的 UTF-8 字节。 2. 匹配行为:确保验证逻辑与 LibXML2 的 行为一致。 3. 返回错误:对于无效的序列,返回 0 并设置 。 代码变更 文件变更 文件变更 总结 该漏洞通过添加对多字节 UTF-8 序列的验证,确保每个连续字节的有效性,从而防止读取未初始化内存。修复方案包括在 函数中添加验证逻辑,并在测试文件中增加相应的测试用例。