В популярной библиотеке SDL обнаружены критические уязвимости

13 октября 2017, 06:59 | Технологии  | Оригинал статьи
фото с InternetUA
Размер текста:

Исследователи безопасности из Cisco Talos обнаружили две критические уязвимости в кроссплатформенной мультимедийной библиотеке Simple DirectMedia Layer (SDL), позволяющие удаленно выполнить код. Для эксплуатации уязвимостей могут использоваться специально сформированные файлы XCF (формат изображений в популярном графическом редакторе GIMP).

Библиотека SDL обеспечивает низкоуровневый доступ к аудио, мыши, клавиатуре, джойстику и графическому оборудованию, что обусловило ее популярность в среде разработчиков игр, эмуляторов и программного обеспечения для воспроизведения видео. Библиотека была использована для разработки сотен программ и игр, в том числе продуктов компании Valve, и медиаплеера VLC.

Одна из проблем представляет собой уязвимость целочисленного переполнения (CVE-2017-2888), возникающую при создании новой поверхности RGB путем вызова функции CreateRGBSurface. Слишком большое значение ширины и высоты может привести к переполнению операции умножения, в результате чего будет выделено слишком мало памяти, пояснили исследователи Cisco.

Вторая проблема - уязвимость переполнения буфера (CVE-2017-2887) содержится в функционале обработки свойств XCF-файлов в библиотеке SDL_image. Данная уязвимость проявляется из-за некорректной проверки данных, считываемых из файла, и последующего использования этих данных. В этом случае атрибуты `id` и` length`, считываемые из файла XCF, используются без проверки, что потенциально может привести к переполнению буфера в стеке.

Уязвимости затрагивают версии SDL 2.0.5 и SDL_image 2.0.1. По словам экспертов безопасности, проблемы были исправлены в выпуске SDL 2.0.

6, однако в аннотации к обновлению об этом не упоминается.

Simple DirectMedia Layer (SDL) - свободная кроссплатформенная мультимедийная библиотека, реализующая единый программный интерфейс к графической подсистеме, звуковым устройствам и средствам ввода для широкого спектра платформ.

GNU Image Manipulation Program (GIMP) - свободно распространяемый растровый графический редактор, программа для создания и обработки растровой графики и с частичной поддержкой работы с векторной графикой.




Теги:
Добавить комментарий
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введите верный ответ