libjxl 中的越界内存读/写 (CVE-2024-11403)
CVE编号
CVE-2024-11403
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-25
漏洞描述
在LibJXL版本低于提交号9cc451b91b74ba470fd72bd48c121e9f33d24c99中存在越界读写漏洞。JPEG XL编码器在处理JPEG重新压缩时使用的JPEG解码器(即在处理不受信任输入时使用JxlEncoderAddJPEGFrame)在不完整的代码存在时未能正确检查边界,这可能导致越界写入。在同一项目中发布的jpegli也存在同样的漏洞。然而,相关缓冲区是更大结构的一部分,代码没有对可能被覆盖的值做出任何假设。这个问题可能会导致jpegli读取未初始化的内存或函数地址。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论