手機版
你好,游客 登錄 注冊
背景:
閱讀新聞

OpenCV存在兩個嚴重的安全漏洞

[日期:2020-01-10] 來源:Linux公社  作者:醉落紅塵 [字體: ]

Cisco Talos的研究人員在OpenCV 4.1.0版中發現了兩個緩沖區溢出漏洞,即CVE-2019-5063(CVSS評分8.8)和CVE-2019-5064(CVSS評分8.8)。

OpenCV(開源計算機視覺)是一個編程功能庫,主要針對實時計算機視覺。[1]它最初是由英特爾開發的,后來得到了Willow Garage和Itseez(后來被Intel [2]收購)的支持。該庫是跨平臺的,可以在開源BSD許可下免費使用。

OpenCV支持深度學習框架TensorFlow,Torch/PyTorch和Caffe。

包括Google,Yahoo,Microsoft,Intel,IBM,Sony,Honda,Toyota等在內的主要技術公司都使用該庫來開發面部識別技術,機器人技術,運動跟蹤和其他解決方案。

深入理解OpenCV+Python直方圖均衡化

OpenCV 4.1.0版的數據結構持久性功能中存在一個可利用的堆緩沖區溢出漏洞。特制的JSON文件可能會導致緩沖區溢出,從而導致多個堆損壞并可能執行代碼。攻擊者可能提供了特制文件來觸發此漏洞。

第一個漏洞CVE-2019-5063(CVSS得分8.8)是堆緩沖區溢出漏洞,它存在于OpenCV 4.1.0的數據結構持久性功能中。利用此漏洞,開發人員可以向OpenCV寫入數據,也可以從其中讀取文件。

根據Talos的說法,在解析包含對潛在字符實體的引用并遇到“&”字符的XML文件時,API會繼續提取字母數字字符,直到分號為止。如果該字符串與switch語句中的任何字符串都不匹配,則將數據原樣復制到緩沖區。

這使攻擊者可以創建特殊的XML文件并觸發緩沖區溢出,從而導致多個堆損壞和潛在的代碼執行。

Talos解釋說,第二個漏洞CVE-2019-5064(CVSS評分8.8)也位于庫的數據結構持久性功能中,可以使用特制JSON文件觸發。

這兩個漏洞都是在OpenCV 4.1.0中發現的,并于2019年7月報告給供應商。2019年12月底發布的OpenCV 4.2.0版本已解決了這兩個緩沖區溢出漏洞。

Linux公社的RSS地址http://www.okbuvi.live/rssFeed.aspx

本文永久更新鏈接地址http://www.okbuvi.live/Linux/2020-01/161972.htm

linux
相關資訊       OpenCV漏洞 
本文評論   查看全部評論 (0)
表情: 表情 姓名: 字數

       

評論聲明
  • 尊重網上道德,遵守中華人民共和國的各項有關法律法規
  • 承擔一切因您的行為而直接或間接導致的民事或刑事法律責任
  • 本站管理人員有權保留或刪除其管轄留言中的任意內容
  • 本站有權在網站內轉載或引用您的評論
  • 參與本評論即表明您已經閱讀并接受上述條款
海口彩票论坛