目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-14 编译器移除释放缓冲区的代码 类漏洞列表 9

CWE-14 编译器移除释放缓冲区的代码 类弱点 9 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-14 属于编译器优化导致的敏感信息泄露漏洞。当开发者尝试通过覆盖内存来清除敏感数据时,优化编译器可能因后续未读取该内存而将其视为“死存储”并移除清除代码,导致数据残留。攻击者可利用内存转储或侧信道技术读取这些残留的密钥或凭证。开发者应使用编译器特定的屏障指令或 volatile 关键字强制内存写入,确保清除操作不被优化掉。

MITRE CWE 官方描述
CWE:CWE-14 编译器移除清除缓冲区的代码 英文:敏感内存按照源代码进行清除,但编译器优化会在内存不再被读取时使其保持原状,即“死存储移除”(dead store removal)。 这种编译器优化错误发生在以下情况:秘密数据存储在内存中。秘密数据通过覆盖其内容从内存中清除。源代码使用优化编译器进行编译,该编译器识别并移除了覆盖内容的函数,将其视为死存储(dead store),因为该内存随后未被使用。
常见影响 (1)
Confidentiality, Access ControlRead Memory, Bypass Protection Mechanism
This weakness will allow data that has not been cleared from memory to be read. If this data contains sensitive password information, then an attacker can read the password and use the information to bypass protection mechanisms.
缓解措施 (3)
ImplementationStore the sensitive data in a "volatile" memory location if available.
Build and CompilationIf possible, configure your compiler so that it does not remove dead stores.
Architecture and DesignWhere possible, encrypt sensitive data that are used by a software system.
代码示例 (1)
The following code reads a password from the user, uses the password to connect to a back-end mainframe, and then attempts to scrub the password from memory using memset().
void GetData(char *MFAddr) { char pwd[64]; if (GetPasswordFromUser(pwd, sizeof(pwd))) { if (ConnectToMainframe(MFAddr, pwd)) { // Interaction with mainframe } } memset(pwd, 0, sizeof(pwd)); }
Bad · C
CVE ID标题CVSS风险等级Published
CVE-2025-64646 IBM Concert 安全漏洞 — Concert 6.2 Medium2026-03-25
CVE-2023-32100 Silicon Labs Gecko SDK 安全漏洞 — Gecko Platform 5.3 Medium2023-05-18
CVE-2023-32099 Silicon Labs Gecko SDK 安全漏洞 — Gecko Platform 5.3 Medium2023-05-18
CVE-2023-32098 Silicon Labs Gecko SDK 安全漏洞 — Gecko Platform 5.3 Medium2023-05-18
CVE-2023-32097 Silicon Labs Gecko SDK 安全漏洞 — Gecko Platform 3.1 Low2023-05-18
CVE-2023-32096 Silicon Labs Gecko SDK 安全漏洞 — Gecko Platform 3.1 Low2023-05-18
CVE-2023-2481 Silicon Labs Gecko SDK 安全漏洞 — Gecko Platform 5.3 Medium2023-05-18
CVE-2023-1132 Silicon Labs Gecko SDK 安全漏洞 — Gecko Platform 5.3 Medium2023-05-18
CVE-2023-0965 Silicon Labs Gecko SDK 安全漏洞 — Gecko Platform 3.1 Low2023-05-18

CWE-14(编译器移除释放缓冲区的代码) 是常见的弱点类别,本平台收录该类弱点关联的 9 条 CVE 漏洞。