Bnoordhuis

**Nome do Software Vulnerável e Versões Afetadas** versões quickjs-ng 0.9.0 e anteriores versões QuickJS anteriores a 2025-04-26 **Descrição** O problema está relacionado à falta de uma verificação de tamanho em `JS ReadString` para uma string, o que pode levar a um estouro de buffer na heap. **Recomendações** Para as versões quickjs-ng 0.9.0 e anteriores, atualize para uma versão que inclua a correção para a falta de verificação de tamanho em `JS ReadString`. Para as versões QuickJS anteriores a 2025-04-26, atualize para uma versão lançada após 2025-04-26 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões 0.9.0 e anteriores do quickjs-ng Versões do QuickJS anteriores a 2025-04-26 **Descrição** O problema está relacionado a um cálculo de tamanho incorreto em `JS ReadBigInt` para um `BigInt`, resultando em um overflow de buffer na heap. **Recomendações** Para versões 0.9.0 e anteriores do quickjs-ng, atualize para uma versão posterior à 0.9.0 para resolver o problema. Para versões do QuickJS anteriores a 2025-04-26, atualize para uma versão lançada após 2025-04-26 para corrigir o problema. Como solução temporária, considere restringir o uso da função `JS ReadBigInt` para valores `BigInt` até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Node.js versão 18 **Descrição** Existe um problema de aleatoriedade fraca no gerador de chaves WebCrypto devido a uma alteração na função EntropySource() em SecretKeyGenTraits::DoKeyGen(), no arquivo src/crypto/crypto keygen.cc. Há dois problemas principais: 1. O valor de retorno de EntropySource() não é verificado, presumindo-se que sempre seja bem-sucedido, mas ele pode falhar. 2. Os dados aleatórios retornados por EntropySource() podem não ser criptograficamente fortes, tornando-os inadequados como material de chave. **Recomendações** Para o Node.js versão 18, considere desativar o uso do gerador de chaves WebCrypto até que um patch esteja disponível para resolver o problema de aleatoriedade fraca. Restrinja o acesso à função `EntropySource()` afetada para minimizar o risco de exploração. Evite usar a função `SecretKeyGenTraits::DoKeyGen()` em src/crypto/crypto keygen.cc até que o problema seja resolvido.