发布日期:2011-12-20
更新日期:2012-10-31
受影响系统:
IrfanView IrfanView 4.2.2
libfpx libfpx 1.3.1
不受影响系统:
IrfanView IrfanView 4.3.20
libfpx libfpx 1.3.1-1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 51131
CVE ID: CVE-2011-5232
libfpx是Flashpix OpenSource Toolkit,且是基于来自Digital Imaging Group公司的源码。
libfpx 1.3.1之前版本的jpeg/dectile.c内的Free_All_Memory函数存在双重释放漏洞,通过发送特制的FPX图形到受影响计算机,攻击者可利用此漏洞在受影响库中执行任意代码。
<*来源:Francis Provencher
链接:
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
建议:
--------------------------------------------------------------------------------
厂商补丁:
IrfanView
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: