小组成员获得libjpeg库官方人员致谢
近日,清华大学软件学院软件系统安全保障小组发现一例libjpeg 漏洞(CVE-2018-11813),涉及的漏洞的版本为libjpeg-9c以及之前的版本。目前该漏洞已提交给维护该库的The Independent JPEG Group (IJG),并得到了确认。IJG团队表示,该漏洞将在2020年发布的libjpeg-9d中进行修复,并对发现漏洞的团队研究生周炽金进行了致谢(https://jpegclub.org/reference/reference-sources/)。
(IJG发布公告致谢团队成员)
libjpeg是广泛使用在图片应用的一个基础库,IJG团队自1991年开始维护该库。此次团队发现的libjpeg漏洞具体细节为:在处理图片读取时不规范,导致在压缩图片的场景下,输入某个小文件(6142 bytes),会耗费很长的时间(~6min)然后输出一个很大的文件(21979501 bytes)。这样的漏洞在服务器端可能会导致拒绝服务攻击(DoS)。安全保障小组提醒各位开发者尽快更新版本,以规避服务器被攻击的风险。