record MCC in JPEG2000

0

Stavo osservando alcune vulnerabilità delle immagini e mi sono imbattuto nella relativamente nuova vulnerabilità di openjpeg nelle immagini JPEG2000 . Dice che: "è possibile accedere alla memoria fuori dai limiti a causa di un errore in mcc di analisi dei record".

Volevo giocare un po 'con questo, ma non riesco a trovare nulla su ciò che mcc record sono. Presumo che si tratti di informazioni sui metadati, ma non riesco a trovare con cosa posso giocare esattamente qui (quale nome deve essere e quali valori possibili, ecc.). Ho scaricato "JP2 Meta Editor" quindi dovrei essere in grado di modificare qualsiasi metadata.

Qualcuno può indicarmi la giusta direzione?

EDIT : nella pagina github di OpenJPEG tengono traccia di tutti gli errori funzionano e hanno alcuni file POC che hanno usato per risolvere il problema. Usando questi chiunque può fare ricerche sulla vulnerabilità.

    
posta Wealot 11.01.2017 - 10:11
fonte

1 risposta

1

Devi leggere il blog Talos sulla vulnerabilità e il codice sorgente .

mcc è un riferimento interno a Multiple Component Collection (riga 1040).

Un Trasformazione di componenti multipli è una trasformazione di colore per le immagini in JPEG2000.

Questo non è qualcosa che puoi modificare nei metadati. Si tratta di come si costruisce l'immagine stessa per creare un errore di riferimento indice quando tenta di elaborare i colori.

Assicurati di leggere i CVE per le vulnerabilità riscontrate e di leggere il codice sorgente e le segnalazioni di bug in modo da poter comprendere il contesto per i problemi.

    
risposta data 11.01.2017 - 10:57
fonte

Leggi altre domande sui tag