NSData 转换上的堆缓冲区溢出

Posted 2023-03-11

【中文标题】NSData 转换上的堆缓冲区溢出

【英文标题】：heap-buffer-overflow on NSData converting

【发布时间】：2016-09-28 17:45:18

【问题描述】：

我注意到 XCode 8 中 AddressSanitizer 的有趣行为。在一种情况下，它会导致捕获断点：AddressSanitizer: heap-buffer-overflow on address 但我真的不明白为什么：

    char * buffer = malloc(length);
    memset(buffer, 0, length);
    [output getBytes:buffer
              length:length];
    stringOutput = [NSString stringWithUTF8String:buffer]; // here is crash

与：

stringOutput = [NSString stringWithUTF8String:output.bytes];

但是对于案例来说一切都很好：

stringOutput = [[NSString alloc] initWithData:output
                                         encoding:NSUTF8StringEncoding];

另外，经过一些实验，我发现如果我们在缓冲区末尾添加“0”，一切都会好起来的：

char * buffer = malloc(length + 1);
memset(buffer, 0, length + 1);
[output getBytes:buffer
          length:length];
stringOutput = [NSString stringWithUTF8String:buffer];

这种行为对我来说是出乎意料的，因为我已经在实时代码上使用了 stringWithUTF8String:output.bytes 几十次，没有任何问题......那么我错在哪里了？

【问题讨论】：

[NSString stringWithUTF8String:buffer] 读取字节，直到找到 NUL 终止符。如果分配和填充的内存中没有零字节，则会读取未定义的内存。

但为什么 stringOutput = [NSString stringWithUTF8String:output.bytes];导致崩溃？我认为 Cocoa 足够聪明，可以在这种情况下解决此类问题？

因为那个方法不知道现在很多字节被定义或有效。

你告诉 Cocoa 有尾随零字节的字节。你在撒谎。可可非常信任。你撒谎，你会得到你应得的。

【参考方案1】：

[NSString stringWithUTF8String:] 将const char * 作为参数， 并读取字节，从给定的内存位置开始，直到终止 0 字节 被发现。 如果分配和写入的内存中没有0字节 内存，它将继续读取未定义的内存，甚至从 无效的内存位置。该方法没有信息关于 定义了从给定指针开始的字节数。

另一方面[[NSString alloc] initWithData: encoding:] 接受一个NSData 参数（它包含一个指向数据的指针和一个长度）并准确地从定义的字节中读取 那个对象。

【讨论】：

酷，谢谢马丁。只是没想到那个地方会出问题……