libwebp堆缓冲区溢出漏洞
漏洞描述
WebP是由Google开发的一种栅格图形文件格式,旨在取代JPEG、PNG和GIF文件格式,libwebp是其解析处理的标准实现,被Chromium、Firefox、FFmpeg等众多客户端及服务端上层应用程序、其他语言组件所依赖。
0.5.0到1.3.1版本的libwebp在解析无损的 webp图片时,会使用霍夫曼编码(Huffman coding) 来构造霍夫曼编码表,并进行解码得到原始图像。在分配霍夫曼编码表的内存空间时,解码器提前会将所有一级表和二级表的空间一起分配出来。但是由于霍夫曼编码表数据读取自图片,未正确校验数据大小。当攻击者构造非法的霍夫曼表时,可以使得表的总内存大小超过预分配的大小,导致堆缓冲区溢出漏洞。
漏洞名称 | libwebp堆缓冲区溢出漏洞 |
---|---|
漏洞类型 | 输入验证不恰当 |
发现时间 | 2023-09-26 |
漏洞影响广度 | 广 |
MPS编号 | MPS-wr17-50l6 |
CVE编号 | CVE-2023-5129 |
CNVD编号 | - |
影响范围
libwebp@[0.5, 1.3.2)
修复方案
将组件 libwebp 升级至 1.3.2 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-wr17-50l6
https://nvd.nist.gov/vuln/detail/CVE-2023-5129
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Windows Terminal Preview 1.19 发布
Windows Terminal Preview 1.19 现已发布,引入了 Broadcast Input、Web Search、Suggestions UI 等新功能。具体更新内容如下: Broadcast Input Broadcast Input允许将一个终端窗格的内容 broadcast 到选项卡中的所有其他窗格。要打开 Broadcast Input,可在命令面板中选择“Toggle broadcast input to all panes”。你还可以将 Broadcast Input设置为键绑定操作。 Web Search Web Search 已作为选项添加到右键单击上下文菜单中。Web 搜索允许用户在其终端中对所选文本进行 Web 搜索。 要启用右键单击上下文菜单,需在settings.json文件的profiles中添加以下defaults对象: "profiles": { "defaults": { "experimental.rightClickContextMenu": true }, ... 默认情况下,Web 搜索将在必应上进行搜索。如...
- 下一篇
每日一博 | 小程序编译器性能优化之路
作者 | 马可 导读 小程序编译器是百度开发者工具中的编译构建模块,用来将小程序代码转换成运行时代码。旧版编译器由于业务发展,存在编译慢、内存占用高的问题,我们对编译器做了一次大规模的重构,采用自研架构,做了多线程、代码缓存、sourcemap 等多项优化,在性能和内存占用上都有很大提升。全文介绍了新版编译器的设计思路和优化方法,以及一些能够用在通用打包工具里的技术点。 全文6629字,预计阅读时间17分钟。 01 前言 小程序编译器在小程序开发、预览、发布各个阶段都需要使用,因此编译器性能会直接影响到开发者开发效率,也会影响到开发者工具的使用体验。 由于旧版的编译器(基于 webpack4)在构建大型项目时会很慢,内存占用也高,一直被开发者吐槽。我们经过大量的调研和开发,最后采用完全自研架构做新编译,针对小程序项目构建做了大量优化,基本解决了旧编译存在的问题。 下图是部分项目构建时间对比: 新版编译器相对于旧版实现了 2~7 倍的性能提升,并且支持实时编译、热重载等特性,内存占用更少,构建产物更优。 下面从 框架选型、新编译器工作原理、性能和产物优化方法 等方面介绍新版编译器的成长之...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Linux系统CentOS6、CentOS7手动修改IP地址
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Hadoop3单机部署,实现最简伪集群
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题