首頁 > 安全研究 > 安全通報 > 安全通告

Accusoft ImageGear 修復多個RCE漏洞風險通告

發布時間 2019-12-05

漏洞編號和級別


CVE編號:CVE-2019-5083,危險級別:嚴重,CVSS分值:廠商自評:9.8,官方未評定

CVE編號:CVE-2019-5076,危險級別:嚴重,CVSS分值:廠商自評:9.8,官方未評定

CVE編號:CVE-2019-5132,危險級別:嚴重,CVSS分值:廠商自評:9.8,官方未評定

CVE編號:CVE-2019-5133,危險級別:嚴重,CVSS分值:廠商自評:9.8,官方未評定


影響版本


Accusoft ImageGear 19.3.0版本


漏洞概述


Accusoft ImageGear是美國Accusoft公司的一款用于圖像處理的軟件開發工具包(SDK)。思科Talos發現Accusoft的文檔和圖片處理庫ImageGear存在多個RCE漏洞。攻擊者只需要說服使用易受攻擊版本的受害者打開惡意文件即可利用這些漏洞。漏洞信息如下:


CVE-2019-5083:越界寫入問題,可通過特殊構造的 TIFF 文件觸發遠程執行代碼,影響 igcore19d.dll TIF_decode_thunderscan函數。


CVE-2019-5076:影響該工具包的 igcore19d.dll PNG 頭部解析器。攻擊者可使用惡意PNG文件引發界外寫入并遠程執行代碼。


CVE-2019-5132:存在于 ImageGear 的igcore19d.dll GEM Raster 解析器中,要求特殊構造的 GEM 文件在受影響系統執行代碼。


CVE-2019-5133:影響該庫的 igcore19d.dll BMP 解析器。定制化的 BMP 文件可觸發界外寫入,從而執行代碼。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,詳情請關注廠商主頁:https://www.accusoft.com。


參考鏈接


https://blog.talosintelligence.com/2019/12/vulnerability-spotlight-accusoft-PNG-dec-19.html



上一篇 下一篇