发布日期：2024-12-09
更新日期：2025-02-20

受影响系统：

DFINITY Motoko >= 0.9.0
DFINITY Motoko < 0.13.4

描述：

---

CVE(CAN) ID: CVE-2024-11991

Motoko是DFINITY开源的一种安全、简单、基于参与者的编程语言，用于构建互联网计算机 (ICP) 罐智能合约。
Motoko 0.9.0至0.13.4版本存在未初始化资源使用漏洞，该漏洞源于增量垃圾收集器中未初始化的内存访问，攻击者可利用漏洞在未经授权的情况下读取或写入Canister的内存。

<**>

建议：

---

厂商补丁：

DFINITY
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/dfinity/motoko/pull/4677

浏览次数：94
严重程度：0（网友投票）