Точная проблема безопасности за новым буфером ()

Question

Все уже знают, что использование конструктора Buffer устарело в последних версиях Node.

var buff = new Buffer();  // Deprecation warning!!

В предупреждении говорится, что с конструктором возникла проблема безопасности. Я пытался выяснить точную проблему безопасности за этим предупреждением, но не смог.

Какова точная проблема безопасности за этим?

Answer 1

Per эта проблема на GitHub :

Если злоумышленник может заставить вашу программу вызвать конструктор Buffer с аргументом Number, то он может выделить ее неинициализированная память из процесса node.js. Это может потенциально раскрыть личные ключи TLS, пользовательские данные или пароли базы данных.

Когда конструктору Buffer передается аргумент Number, он возвращает UNINITIALIZED блок памяти указанный размер. ...