发布日期:2012-06-21
更新日期:2012-06-26
受影响系统:
XnView XnView 1.98.8
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 54125
CVE ID: CVE-2012-0276,CVE-2012-0277,CVE-2012-0282
XnView是一款浏览的图片查看器,支持多种图形格式。
XnView 1.98.8在实现上存在多个内存破坏漏洞,成功利用可允许攻击者运行任意代码。
1)在解压SGI32LogLum压缩的TIFF图形时验证失败,可造成堆缓冲区溢出。
2)在解压SGI32LogLum压缩的TIFF图形时验证失败,其中PhotometricInterpretation编码设置为 LogL,可造成堆缓冲区溢出。
3)在解压PCT图形时验证失败,可造成堆缓冲区溢出。
4)在处理GIF图形的 ImageDescriptor结构时索引错误,通过特制的 "ImageLeftPosition" 值,可导致内存破坏。
建议:
--------------------------------------------------------------------------------
厂商补丁:
XnView
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: