首页 > 清静研究 > 清静转达 > 清静简讯

OpenCV缓冲区溢出误差（CVE-2019-5063、CVE-2019-5064）

宣布时间 2020-01-05

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

1.配景形貌

思科Talos最近在OpenCV库中发明两个缓冲区溢出误差，，，，攻击者可使用这些误差来导致堆损坏和潜在的代码执行。。。。。

2.误差列表

CVE ID ： CVE-2019-5063、CVE-2019-5064

误差品级：高危

CVSS评分： 8.8

CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

影响规模： OpenCV 4.1.0

3.误差详情

OpenCV（开源盘算机视觉库）是一个主要针对实时盘算机视觉编程功效的开源库。。。。。包括Google、Microsoft、Intel、IBM、Yahoo、Sony、Honda、Toyota和其他公司在内的主要科技公司都使用该库来开发面部识别手艺、机械人手艺、运动跟踪等解决计划。。。。。

CVE-2019-5063和CVE-2019-5064都是堆缓冲区溢出误差，，，，保存于OpenCV 4.1.0的数据结构长期性功效中。。。。。该功效允许开发职员在磁盘上的文件中写入OpenCV数据结构以及从磁盘上的文件中检索OpenCV数据结构，，，，文件类型可以是XML、YAML或JSON。。。。。攻击者可以划分通过恶意XML文件和JSON文件触发这两个误差。。。。。

CVE-2019-5063在该功效剖析包括潜在字符实体引用的XML文件时触发，，，，当遇到＆符号时，，，，API将继续剖析字符，，，，直到遇到分号为止。。。。。若是字符串与switch语句中的字符串不匹配，，，，则数据被完整复制进缓冲区中。。。。。CVE-2019-5064是在该功效剖析包括空字节的JSON文件时触发的，，，，当遇到空字节时，，，，直到该点的整个值均被复制进缓冲区中，，，，但API并未检查JSON值是否会溢出目的缓冲区。。。。。

4.修复建议

OpenCV 4.2.0版本已经修复了这两个误差，，，，建议用户举行更新。。。。。

5.参考链接

https://blog.talosintelligence.com/2020/01/opencv-buffer-overflow-jan-2020.html

https://nvd.nist.gov/vuln/detail/CVE-2019-5063

https://nvd.nist.gov/vuln/detail/CVE-2019-5064

https://securityaffairs.co/wordpress/95962/hacking/opencv-library-buffere-overflow.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

OpenCV缓冲区溢出误差（CVE-2019-5063、CVE-2019-5064）

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线