std :: use_facet :: out()中可能的缓冲区溢出错误

时间:2012-11-07 08:45:45

标签: c++ visual-studio-2012 locale buffer-overflow codecvt

我想我在VC ++ 10 std :: locale对象中发现了一个缓冲区溢出错误。对于我是否做错了,我会感激第二意见。

以下代码经过简化以演示问题。我试图将wchar_t(UTF-16)字符转换为(Windows)ANSI代码页51949(a.k.a. EUC-KR)。选择代码页是因为它使用双字节(DBCS)编码。

我故意为双字节结果提供单个字符缓冲区,期望它以“部分”或“错误”状态失败。

相反,它返回状态为“ok”,写入缓冲区的末尾,并在尝试退出时导致损坏的堆栈异常。

#include <iostream>
#include <locale>
#include <cwchar>

typedef std::codecvt<wchar_t, char, mbstate_t> cvt_t;

void PrintResult(cvt_t::result r)
{
    switch (r)
    {
        case cvt_t::ok: 
            std::cout << "ok\n";
            break;
        case cvt_t::partial: 
            std::cout << "partial\n";
            break;
        case cvt_t::error: 
            std::cout << "error\n";
            break;
        case cvt_t::noconv: 
            std::cout << "noconv\n";
            break;
    }
}
int main()
{
    const wchar_t src = L'안';
    char          dst = 0;
    std::locale   loc("Korean_Korea.51949");
    mbstate_t     state = { 0 };

    const cvt_t &facet = std::use_facet<cvt_t>(loc);
    cvt_t::result res;

    const wchar_t *pSrc;
    char *pDst;

    res = facet.out(state, &src, &src+1, pSrc, &dst, &dst+1, pDst);
    PrintResult(res);

    return 0;
}

使用调试器在facet.out()内部步进,我发现自己(在几个级别中)在以下函数中:

virtual result __CLR_OR_THIS_CALL do_out(_Statype& _State,
    const _Elem *_First1, const _Elem *_Last1, const _Elem *& _Mid1,
        _Byte *_First2, _Byte *_Last2, _Byte *& _Mid2) const
    {   // convert [_First1, _Last1) to bytes [_First2, _Last)
    _DEBUG_RANGE(_First1, _Last1);
    _DEBUG_RANGE(_First2, _Last2);
    _Mid1 = _First1, _Mid2 = _First2;
    result _Ans = _Mid1 == _Last1 ? ok : partial;
    int _Bytes;

    while (_Mid1 != _Last1 && _Mid2 != _Last2)
        if ((int)MB_CUR_MAX <= _Last2 - _Mid2)
            if ((_Bytes = _Wcrtomb(_Mid2, *_Mid1,
                &_State, &_Cvt)) < 0)
                return (error); // locale-specific wcrtomb failed
            else
                ++_Mid1, _Mid2 += _Bytes, _Ans = ok;
        else
            {   // destination too small, convert into buffer
            _Byte _Buf[MB_LEN_MAX];
            _Statype _Stsave = _State;

            if ((_Bytes = _Wcrtomb(_Buf, *_Mid1,
                &_State, &_Cvt)) < 0)
                return (error); // locale-specific wcrtomb failed
            else if (_Last2 - _Mid2 < _Bytes)
                {   // converted too many, roll back and return previous
                _State = _Stsave;
                return (_Ans);
                }
            else
                {   // copy converted bytes from buffer
                _CSTD memcpy(_Mid2, _Buf, _Bytes);
                ++_Mid1, _Mid2 += _Bytes, _Ans = ok;
                }
            }
    return (_Ans);
    }

问题似乎是:

在行if ((int)MB_CUR_MAX <= _Last2 - _Mid2)上,MB_CURR_MAX(#defined为函数___ mb_cur_max_func())返回“1”,而不是DBCS字符所需的“2”。

_CRTIMP int __cdecl ___mb_cur_max_func(void)
{
    /*
     * Note that we don't need _LocaleUpdate in this function.
     * The main reason being, that this is a leaf function in
     * locale usage terms.
     */
    _ptiddata ptd = _getptd();
    pthreadlocinfo ptloci = ptd->ptlocinfo;

    __UPDATE_LOCALE(ptd, ptloci);

    return ptloci->mb_cur_max;
}

此函数似乎正在访问全局区域设置,而不是初始化构面时提供的区域设置。

如果我按如下方式设置全局区域设置:

std::locale::global(loc);

一切正常(并且状态为“部分”失败)。

因此在我看来,out()的这个特定实现错误地使用全局语言环境来确定MB_CUR_MAX,而不是在对象的构造中提供的语言环境 - 从而导致缓冲区溢出错误。

任何人都能指出我的错误吗?

------------------------------
2013年5月20日更新
------------------------------

我已将此报告给MS,如错误787227。

请参阅http://connect.microsoft.com/VisualStudio/feedback/details/787227/buffer-overflow-bug-in-std-use-facet-out

------------------------------
2015年7月27日更新

------------------------------

我收到一封来自Microsoft的电子邮件,说这个错误已在Visual Studio 2015的新RTM中得到修复。(是的)

0 个答案:

没有答案