Cisco Talos在OpenCV庫(kù)中發(fā)現(xiàn)的2個(gè)高危漏洞是怎樣的

Cisco Talos在OpenCV庫(kù)中發(fā)現(xiàn)的2個(gè)高危漏洞是怎樣的，相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法，通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

OpenCV庫(kù)的維護(hù)人員修復(fù)了兩個(gè)高危緩沖區(qū)溢出漏洞，攻擊者可利用這兩個(gè)漏洞執(zhí)行任意代碼。

OpenCV是一個(gè)基于BSD許可（開(kāi)源）發(fā)行的跨平臺(tái)計(jì)算機(jī)視覺(jué)庫(kù)，可以運(yùn)行在Linux、Windows、Android和Mac OS操作系統(tǒng)上。許多大公司，包括谷歌、微軟、英特爾、IBM、雅虎、索尼、本田、豐田等都使用OpenCV庫(kù)開(kāi)發(fā)面部識(shí)別技術(shù)、機(jī)器人技術(shù)、運(yùn)動(dòng)跟蹤等技術(shù)。

Cisco Talos的研究人員在OpenCV 4.1.0版本中發(fā)現(xiàn)了兩個(gè)緩沖區(qū)溢出漏洞。這兩個(gè)漏洞的CVE編號(hào)分別為CVE-2019-5063和CVE-2019-5064。

CVE-2019-5063是一個(gè)堆緩沖區(qū)溢出漏洞，存在于OpenCV的數(shù)據(jù)結(jié)構(gòu)持久性功能中。該功能允許開(kāi)發(fā)人員將OpenCV數(shù)據(jù)結(jié)構(gòu)寫(xiě)入磁盤(pán)上的文件和從磁盤(pán)上的文件檢索數(shù)據(jù)結(jié)構(gòu)。攻擊者可借助特制的XML文件利用該漏洞造成多個(gè)堆損壞和執(zhí)行代碼。

CVE-2019-5064也存在于OpenCV的數(shù)據(jù)結(jié)構(gòu)持久性功能中，攻擊者可借助特制的JSON文件觸發(fā)該漏洞。專(zhuān)家解釋到，在解析含有空字節(jié)的JSON文件時(shí)，該文件被拷貝到緩沖區(qū)，而OpenCV庫(kù)未能檢查是否該JSON值會(huì)溢出目標(biāo)緩沖區(qū)。

負(fù)責(zé)維護(hù)該庫(kù)的OpenCV.org已在2019年12月底發(fā)布OpenCV4.2.0版本，修復(fù)了這兩個(gè)漏洞。

看完上述內(nèi)容，你們掌握Cisco Talos在OpenCV庫(kù)中發(fā)現(xiàn)的2個(gè)高危漏洞是怎樣的的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！