近期我们发现。在对OpenJPEG库实施了零日攻击后发现了,JPEG 2000图像文件格式分析器的漏洞OpenJPEG库 ,这可能允许攻击者在受影响系统上远程执行任意代码。
![AGXW9Q4AM8E11)OBF{]]HNL.jpg](https://www.weixianmanbu.com/zb_users/upload/2016/10/201610111476163481519228.jpg)
通过思科塔洛斯组的安全研究人员发现,零日攻击的安全漏洞,分配为TALOS-2016-0193 / CVE-2016-8332 ,可能允许出现一个彻头彻尾的结合堆写触发堆损坏并导致任意代码执行。
OpenJPEG是一个开源的JPEG 2000编解码器。 该软件以C语言编写,用于编码和编码JPEG2000图像,这种格式通常用于像通过包括PdFium,Poppler和MuPDF的流行软件在PDF文档中嵌入图像文件的任务。
黑客可以利用安全漏洞,诱骗受害者在电子邮件中打开特制的,恶意的JPEG2000图像或包含该恶意文件的PDF文档。
黑客甚至可以将恶意的JPEG2000图像文件上传到文件托管服务(如Dropbox或Google云端硬盘),然后将该链接发送给受害者。
一旦下载到系统,它将创建一种方法,黑客可以远程执行受影响的系统上的恶意代码。
该漏洞是导致“ 由于一个错误在解析的JPEG2000文件MCC记录,......从而导致错误读取和邻近地区的堆内存的写入 ,”思科在其解释咨询 。
“ 堆布局小心处理,并可能导致进一步的堆元数据处理内存破坏,最终导致代码执行攻击者的控制之下。”
研究人员在OpenJPEG openjp2版本2.1.1上成功测试了JPEG 2000图像漏洞。 缺陷是由来自Cisco Talos安全团队的Aleksandar Nikolic发现的。
该小组报告的零日漏洞来OpenJPEG开发商在七月下旬,该公司上周修补缺陷与2.1.2版本发布 。
该漏洞已被分配了7.5的CVSS分数,将其分类为高严重性错误。