CWE-591 敏感数据存储于加锁不恰当的内存区域 类漏洞列表 73

CWE：CWE-591 敏感数据存储在不正确锁定的内存中 英文：产品将敏感数据存储在未锁定或锁定不正确的内存中，这可能导致虚拟内存管理器将内存写入磁盘上的交换文件（swap files）。这会使数据更容易被外部实体访问。 在 Windows 系统上，VirtualLock 函数可以锁定内存页，以确保其保留在内存中而不会被交换到磁盘。然而，在旧版本的 Windows 上，如 Windows 95、98 或 Me，VirtualLock() 函数只是一个存根（stub），不提供任何保护。在 POSIX 系统上，mlock() 调用可确保内存页保留在内存中，但不能保证该页不会出现在交换区（swap）中。因此，它不适合作为敏感数据的保护机制。某些平台，特别是 Linux，确实保证内存页不会被交换，但这不是标准行为，也不具备可移植性。对 mlock() 的调用还需要管理员权限（supervisor privilege）。必须检查这两个调用的返回值，以确保锁定操作实际成功。