События

В популярной библиотеке SDL обнаружены критические уязвимости

Исследователи безопасности из Cisco Talos обнаружили две критические уязвимости в кроссплатформенной мультимедийной библиотеке Simple DirectMedia Layer (SDL), позволяющие удаленно выполнить код. Для эксплуатации уязвимостей могут использоваться специально сформированные файлы XCF (формат изображений в популярном графическом редакторе GIMP).

Библиотека SDL обеспечивает низкоуровневый доступ к аудио, мыши, клавиатуре, джойстику и графическому оборудованию, что обусловило ее популярность в среде разработчиков игр, эмуляторов и программного обеспечения для воспроизведения видео. Библиотека была использована для разработки сотен программ и игр, в том числе продуктов компании Valve, и медиаплеера VLC.

Одна из проблем представляет собой уязвимость целочисленного переполнения (CVE-2017-2888), возникающую при создании новой поверхности RGB путем вызова функции CreateRGBSurface. Слишком большое значение ширины и высоты может привести к переполнению операции умножения, в результате чего будет выделено слишком мало памяти, пояснили исследователи Cisco.

Вторая проблема - уязвимость переполнения буфера (CVE-2017-2887) содержится в функционале обработки свойств XCF-файлов в библиотеке SDL_image. Данная уязвимость проявляется из-за некорректной проверки данных, считываемых из файла, и последующего использования этих данных. В этом случае атрибуты `id` и` length`, считываемые из файла XCF, используются без проверки, что потенциально может привести к переполнению буфера в стеке.

Уязвимости затрагивают версии SDL 2.0.5 и SDL_image 2.0.1. По словам экспертов безопасности, проблемы были исправлены в выпуске SDL 2.0.6, однако в аннотации к обновлению об этом не упоминается.

Simple DirectMedia Layer (SDL) - свободная кроссплатформенная мультимедийная библиотека, реализующая единый программный интерфейс к графической подсистеме, звуковым устройствам и средствам ввода для широкого спектра платформ.

GNU Image Manipulation Program (GIMP) - свободно распространяемый растровый графический редактор, программа для создания и обработки растровой графики и с частичной поддержкой работы с векторной графикой.

Источник

Автор: Сергей Куприянов
12.10.2017 (14:00)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.