УКРАИНА

В библиотеке SDL обнаружены критические уязвимости

0

Уязвимости затрагивают версии SDL 2.0.5 и SDL_image 2.0.1

Исследователи безопасности из Cisco Talos обнаружили две критические уязвимости в кроссплатформенной мультимедийной библиотеке Simple DirectMedia Layer (SDL), позволяющие удаленно выполнить код

Для эксплуатации уязвимостей могут использоваться специально сформированные файлы XCF (формат изображений в популярном графическом редакторе GIMP), сообщает «SecurityLab».

Библиотека SDL обеспечивает низкоуровневый доступ к аудио, мыши, клавиатуре, джойстику и графическому оборудованию, что обусловило ее популярность в среде разработчиков игр, эмуляторов и программного обеспечения для воспроизведения видео. Библиотека была использована для разработки сотен программ и игр, в том числе продуктов компании Valve, и медиаплеера VLC.

Одна из проблем представляет собой уязвимость целочисленного переполнения (CVE-2017-2888), возникающую при создании новой поверхности RGB путем вызова функции CreateRGBSurface. Слишком большое значение ширины и высоты может привести к переполнению операции умножения, в результате чего будет выделено слишком мало памяти, пояснили исследователи Cisco.

Вторая проблема - уязвимость переполнения буфера (CVE-2017-2887) содержится в функционале обработки свойств XCF-файлов в библиотеке SDL_image. Данная уязвимость проявляется из-за некорректной проверки данных, считываемых из файла, и последующего использования этих данных. В этом случае атрибуты «id» и» length», считываемые из файла XCF, используются без проверки, что потенциально может привести к переполнению буфера в стеке.

Уязвимости затрагивают версии SDL 2.0.5 и SDL_image 2.0.1. По словам экспертов безопасности, проблемы были исправлены в выпуске SDL 2.0.6, однако в аннотации к обновлению об этом не упоминается.

Simple DirectMedia Layer (SDL) - свободная кроссплатформенная мультимедийная библиотека, реализующая единый программный интерфейс к графической подсистеме, звуковым устройствам и средствам ввода для широкого спектра платформ.

GNU Image Manipulation Program (GIMP) - свободно распространяемый растровый графический редактор, программа для создания и обработки растровой графики и с частичной поддержкой работы с векторной графикой.

Фото: «3Dnews»

 

Теги: SDL, библиотека, уязвимость

Версия для печати
Загрузка...
Loading...

Партнеры портала

Price.ua - сервис сравнения цен в Украине
властьвласть деньги деньги стиль жизнистиль жизни hi-tech hi-tech спорт спорт мир мир общество общество здоровье здоровье звезды звезды
Архив Экспорт О проекте/Контакт Информатор

Нажмите «Нравится»,
чтобы читать «Комментарии» в Facebook!

Спасибо, я уже с вами.

   © «КомментарииУА:», 2016

Система Orphus