首页 > 清静研究 > 清静转达 > 清静简讯

OpenCV缓冲区溢出误差（CVE-2019-5063、CVE-2019-5064）

宣布时间 2020-01-05

凯发·k8(中国游)官方网站

1.配景形貌

思科Talos最近在OpenCV库中发明两个缓冲区溢出误差，，，，，攻击者可使用这些误差来导致堆损坏和潜在的代码执行。。。

2.误差列表

CVE ID ： CVE-2019-5063、CVE-2019-5064

误差品级：高危

CVSS评分： 8.8

CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

影响规模： OpenCV 4.1.0

3.误差详情

OpenCV（开源盘算机视觉库）是一个主要针对实时盘算机视觉编程功效的开源库。。。包括Google、Microsoft、Intel、IBM、Yahoo、Sony、Honda、Toyota和其他公司在内的主要科技公司都使用该库来开发面部识别手艺、机械人手艺、运动跟踪等解决计划。。。

CVE-2019-5063和CVE-2019-5064都是堆缓冲区溢出误差，，，，，保存于OpenCV 4.1.0的数据结构长期性功效中。。。该功效允许开发职员在磁盘上的文件中写入OpenCV数据结构以及从磁盘上的文件中检索OpenCV数据结构，，，，，文件类型可以是XML、YAML或JSON。。。攻击者可以划分通过恶意XML文件和JSON文件触发这两个误差。。。

CVE-2019-5063在该功效剖析包括潜在字符实体引用的XML文件时触发，，，，，当遇到＆符号时，，，，，API将继续剖析字符，，，，，直到遇到分号为止。。。若是字符串与switch语句中的字符串不匹配，，，，，则数据被完整复制进缓冲区中。。。CVE-2019-5064是在该功效剖析包括空字节的JSON文件时触发的，，，，，当遇到空字节时，，，，，直到该点的整个值均被复制进缓冲区中，，，，，但API并未检查JSON值是否会溢出目的缓冲区。。。

4.修复建议

OpenCV 4.2.0版本已经修复了这两个误差，，，，，建议用户举行更新。。。

5.参考链接

https://blog.talosintelligence.com/2020/01/opencv-buffer-overflow-jan-2020.html

https://nvd.nist.gov/vuln/detail/CVE-2019-5063

https://nvd.nist.gov/vuln/detail/CVE-2019-5064

https://securityaffairs.co/wordpress/95962/hacking/opencv-library-buffere-overflow.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

凯发k8

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯发k8

清静研究

OpenCV缓冲区溢出误差（CVE-2019-5063、CVE-2019-5064）

关于凯发k8

解决计划

清静研究

联系凯发k8

7*24小时效劳热线