【缺陷周话】第47期：参数未初始化

Original 奇安信代码卫士代码卫士 2022-04-06

收录于话题 #缺陷周话 59个

聚焦源代码安全，网罗国内外最新资讯！

*声明：《缺陷周话》栏目系列文章由奇安信代码卫士团队原创出品。未经许可，禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

代码审计是使用静态分析发现源代码中安全缺陷的方法，辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于未然，因此一直以来都是学术界和产业界研究的热点，并已成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

奇安信代码卫士团队基于自主研发的国内首款源代码安全检测商用工具，以及十余年漏洞技术研究的积累，推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷，结合实例和工具使用进行详细介绍，旨在为广大开发和安全人员提供代码审计的基础性标准化教程。

缺陷周话 • 第47期

参数未初始化

1、参数未初始化

变量如果没有进行初始化，其默认值是不确定的。在调用函数时，如果使用了未初始化的参数作为函数参数，可能会在函数的内部造成未初始化变量的直接使用，进而导致未定义行为的发生。详细请参见CWE-457: Use of Uninitialized Variable。

2、参数未初始化的危害

未初始化的变量拥有不确定的值，当这个不确定的值作为参数传入函数中时，可能会触发非预期的行为，甚至导致缓冲区溢出、执行任意代码等严重隐患。

CVE中也有一些与之相关的漏洞信息，从2018年1月至2019年8月，CVE中就有10条相关漏洞信息。漏洞信息如下：

CVE	概述
CVE-2019-7321	Artifex MuPDF 1.14 版本的函数 fzloadjpeg 中使用未初始化的变量导致缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。
CVE-2019-12730	FFmpeg 3.2.14 之前版本和 4.1.4 之前的 4.x 版本中的libavformat/aadec.c 文件的 ‘aareadheader’ 函数没有对 sscanf () 函数进行检测，导致允许使用未使用的变量。攻击者可利用该漏洞绕过安全检查。

3、示例代码

示例源于Samate Juliet Test Suite for C/C++ v1.3 (https://samate.nist.gov/SARD/testsuite.php)，源文件名：CWE457_Use_of_Uninitialized_Variable__char_pointer_01.c。

3.1 缺陷代码

在上述示例代码中，第26行对变量 data 进行定义，但没有进行初始化，随后在第30行 data 作为 printLine() 函数的参数传入，由于此时 data 并没有初始化，其值也是未定义的，因此存在“参数未初始化”问题。

使用代码卫士对上述示例代码进行检测，可以检出“参数未初始化”缺陷，显示等级为中。如图1所示：

图1：参数未初始化检测示例

3.2 修复代码

在上述修复代码中，Samate 给出的修复方式为：在第30行对 data 进行赋值，从而避免了“参数未初始化”。

使用代码卫士对修复后的代码进行检测，可以看到已不存在“参数未初始化”缺陷。如图2：

图2：修复后检测结果

4、如何避免参数未初始化

检查代码逻辑，避免函数参数使用未初始化的值，另外也可以对变量的声明采取默认初始化的策略。

推荐阅读

【缺陷周话】第46期：邮件服务器建立未加密的连接