Уязвимость в библиотеке SDL, приводящая к выполнению кода при обработке изображений

В наборе библиотек SDL (Simple Direct Layer), предоставляющем средства для аппаратно ускоренного вывода 2D- и 3D-графики, обработки ввода, воспроизведения звука, вывода 3D через OpenGL/OpenGL ES и множества иных сопутствующих операций, выявлено 6 уязвимостей. В том числе в библиотеке SDL2_image обнаружены две проблемы, позволяющие организовать удалённое выполнение кода в системе. Атака может быть совершена на приложения, использующие SDL для загрузки изображений.

Обе уязвимости (CVE-2019-5051, СVE-2019-5051) присутствует в функции IMG_LoadPCX_RW и вызваны отсутствием необходимого обработчика ошибок и целочисленным переполнением, которые можно эксплуатировать через передачу специально оформленного файла в формате PCX. Проблемы уже устранены в выпуске SDL_image 2.0.5. Информация об остальных 4 уязвимостях пока не раскрывается.

Источник: opennet.ru

Добавить комментарий