天创培训:您身边的信息安全培训专家!
行业动态
思科SDL开发库被爆存在严重远程代码执行漏洞

  思科SDL开发库被爆存在严重远程代码执行漏洞

  SDL(Simple DirectMedia Layer)是一套开放源代码的跨平台多媒体开发库,提供了数种控制图像、声音、输出入的函数,让开发者只要用相同或是相似的代码就可以开发出跨多个平台(Linux、Windows、Mac OS X等)的应用软件。

  目前,SDL多用于开发游戏、模拟器、媒体播放器等多媒体应用领域。SDL已被用于开发了数百种游戏,包括由Valve制作的游戏以及VLC媒体播放器。

  最近,思科Talos团队的研究人员在SDL中发现了两个高危的远程代码执行漏洞。

  研究员Yves Younan发现,SDL受到内存损坏漏洞的影响,可以通过使用库来处理特制文件,之后就能在目标机器上远程执行任意代码。

  Talos团队表示,攻击中会用到一个可以触发漏洞的XCF文件。 XCF是流行的图像编辑工具GIMP所使用的格式。

  第一个漏洞是一个整数溢出(CVE-2017-2888)漏洞,可以通过调用“CreateRGBSurface”函数创建新的RGB曲线时触发。

  思科在其咨询中表示:“传递给该函数的足够大的宽度和高度值可能会导致乘法运算溢出,从而导致分配的内存太少,随后的内存写入就会超出范围。”

  第二个漏洞是SDL_image映像文件加载库的XCF属性处理功能中的一个缓冲区溢出漏洞(CVE-2017-2887)。

  思科说:“这个漏洞是由于从文件中读取的数据和随后使用的数据之间的验证不足造成。在这种情况下,从XCF镜像文件中读取的“id”和“length”属性值无需验证就直接被使用,这可能会导致基于堆栈的缓冲区溢出。”

  这些漏洞影响的产品包括SDL 2.0.5和SDL_image 2.0.1。思科表示,在SDL 2.0.6中这两个漏洞似乎被修复了,但在该版本的发行说明中并未提及任何安全修复。