记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Safing multimedia with help of ASAN

2016-02-24 01:35
  文/ 阿尔法实验室 陈钦 当你在视频,音频,文本等的海洋或天空中遨游和飞翔的时一定不想遇见臭虫和鲨鱼。如你所愿。我们最近对解码器做了一些测试。 Openjpeg是一款jpeg解码器,ASAN是c++内存错误检测工具。内存错误包含缓冲区溢出,堆溢出等。 valgrind,boundschecker等也都是高效的工具。论文下载:AddressSanitizer   在过去的一段时间的动静态测试中(2015.12月),我们发现了openjpeg 整形溢出(已修复) https://github.com/uclouvain/openjpeg/issues/663 之后360代码安全team的朋友也发现了openjpeg的类似的问题(CVE-2016-1923.CVE-2016-1924)。 http://www.openwall.com/lists/oss-security/2016/01/18/4 http://www.openwall.com/lists/oss-security/2016/01/18/7 当我们考虑是否还会有类似问题的时候,我们看到了清华的Qixue Xiao发现了另一个转化问题(使用valgrind) http://www.openwall.com/lists/oss-security/2016/01/19/3 我们在更早一些时间发现了libraw的如下问题(CVE-2015-8366 CVE-2015-8367): http://www.libraw.org/news/libraw-0-17-1  https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=806809 最后要感谢邮件组,CVE团队等的合作和知识共享,才得以完成发现bug,漏洞利用和补丁制作.        
知识来源: blog.topsec.com.cn/ad_lab/safing-multimedia/

阅读:106140 | 评论:0 | 标签:原创翻译 技术分享

想收藏或者和大家分享这篇好文章→复制链接地址

“Safing multimedia with help of ASAN”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云