CVE-2021-45703

**Nome do software vulnerável e versões afetadas:

Versões do crate tectonic xdv anteriores à 0.1.12

Descrição:

Uma falha no crate tectonic xdv permite que o método XdvParser::::process leia de locais de memória não inicializados. As versões afetadas deste crate passam um buffer não inicializado para uma implementação Read fornecida pelo usuário. Isso pode levar à exposição de memória, pois implementações Read arbitrárias podem ler do buffer não inicializado e retornar números incorretos de bytes gravados no buffer. A leitura de memória não inicializada produz valores indefinidos que podem rapidamente provocar um comportamento indefinido.

Recomendações:

Para versões anteriores à 0.1.12, atualize para a versão 0.1.12 ou posterior, que inclui a correção para este problema, inicializando o buffer com zeros antes de passá-lo para uma implementação Read fornecida pelo usuário. Como solução temporária, considere restringir o uso da função XdvParser::<T>::process até que um patch esteja disponível. Evite usar implementações Read arbitrárias com versões afetadas do crate para minimizar o risco de exploração.