Cisco Talos的研究人员发现了OpenJPEG JPEG 2000编解码器中的一个严重的零日漏洞,它可能导致远程代码在受损的系统上执行。
上周五,来自思科的研究人员披露了在OpenJPEG库中实现的jpeg2000图像文件格式解析器存在零日漏洞。指定为CVE-2016-8332的out- bound漏洞可能允许发生out- bound堆写,从而导致堆损坏和任意代码执行。
OpenJPEG是一个开源的jpeg2000编解码器。该软件是用C语言编写的,目的是推广jpeg2000,这是一种流行的图像压缩标准,通常用于任务,包括通过Poppler、MuPDF和Pdfium等软件将图像嵌入到PDF文档中。
该错误的CVSS评分为7.5,是由于在jpeg2000文件中解析mcc记录时出现错误,导致“对相邻堆区域内存的读写错误”。如果操纵,这些错误可能会导致堆元数据进程内存损坏。
在一份安全报告中,该团队表示,如果受害者打开专门制作的恶意jpeg2000图像,攻击者就可以利用该安全漏洞。例如,如果该内容位于钓鱼电子邮件中,或者托管在合法服务(如谷歌驱动器或Dropbox)上,一旦下载到他们的系统,就会为攻击者创建路径来远程执行代码。
该漏洞是由Cisco Talos安全团队的Aleksander Nikolic在OpenJpeg openjp2版本2.1.1中发现的。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢