有时,打开通过电子邮件收到的 JPEG 图像就足以遭到黑客攻击。最近,Talos 安全研究人员在 OpenJPEG 库中发现了一个严重缺陷,许多出版商使用该库来显示 JPEG 2000 格式的图像,特别是用于将此类图像集成到 PDF 文档中。使用该库的出版商包括 Poppler、MuPDF 和 Pdfium。
这些研究人员发现的错误会导致内存写入错误,从而允许在必要时在机器上执行任意代码。据 Talos 称,黑客可以通过在垃圾邮件中发送损坏的图像或通过 Dropbox 或 Google Drive 等云存储服务分发图像来利用此缺陷。该缺陷已在 OpenJPEG 2.1.1 版本上成功测试。
Talos 研究人员于 7 月底向 OpenJPEG 通报了这一缺陷,该公司上周发布了其库的更新 (2.1.2)。我们希望发行商已经将这个新版本集成到他们的产品中。
资料来源:
