PRECISION.LOSS

出现精度损失

PRECISION.LOSS 检查器查找那些指向较小的数据类型进行的、可能导致数据精度损失的隐含转换的实例。

漏洞与风险

根据具体环境，这种情况可能被利用，例如在导致缓冲区溢出时。

缓解与预防

如果精度损失转换是刻意为之，则应使用相应的位掩码来对转换源进行掩码处理。例如：

1
char c = (i & 0xFF);

漏洞代码示例

1
2
3
4
  void foo(int i) {
      char c;
      c = i; 
  }

Klocwork 标记了第 3 行，其中有一个指向较小数据类型 char 'c' 的隐式转换。

相关检查器

• PRECISION.LOSS.CALL

外部指导

• CERT INT02-C：了解整型转换规则
• CWE-192：整型强制错误
• CWE-197：数字截断错误
• CWE-681：数字型之间不正确的转换
• STIG-ID：APP3550 应用程序易受整型溢出影响

安全培训

应用程序安全培训材料由 Secure Code Warrior 提供。

• 整数溢出培训视频 - 用培训示例来检验您的技能