Обнаружена уязвимость в GDK-Pixbuf затрагивающая Chromium, Firefox и VLC
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Обнаружена уязвимость в GDK-Pixbuf затрагивающая Chromium, Firefox и VLC

Александр Панасенко 31 Августа 2017 - 11:56
...
Обнаружена уязвимость в GDK-Pixbuf затрагивающая Chromium, Firefox и VLC

В библиотеке GDK-PixBuf, применяемой в GTK+ и Clutter для загрузки и обработки различных типов изображений, выявлены две уязвимости, позволяющие организовать выполнение кода злоумышленника с правами текущего пользователя при обработке специально оформленных файлов в форматах TIFF (CVE-2017-2870) и JPEG (CVE-2017-2862).

Уязвимости в GDK-Pixbuf позволяют атаковать систему через такие приложения, как Chromium, Firefox, VLC и GNOME thumbnailer. Более того, применение GDK-Pixbuf в GNOME thumbnailer позволяет выполнить код в процессе автоматического построения пиктограмм с эскизами для новых файлов, т.е. для эксплуатации достаточно просмотреть список файлов в файловом менеджере GNOME, без явного открытия файлов пользователем. Также имеется возможность свершить атаку при открытии специально оформленной web-страницы в браузерах, сообщает opennet.ru.

Первая уязвимость вызвана целочисленным переполнением в функции tiff_image_parse, которое при обработке специально оформленного файла в формате TIFF может привести к переполнению кучи. Опасность проблемы смягчает то, что она проявляется только при сборке библиотеки с флагом оптимизации "-O3", который редко применяется для финальных сборок. Примечательно, что в коде библиотеки есть проверки на переполнение, но при использовании флага "-O3" компилятор (проверено в GCC 6.1 и Clang 3.8, также имеются сведения об удалении проверок и при флаге "-O2") относит их к коду с неопределённым поведением ("Undefined Behavior") и удаляет как излишний код.

Вторая уязвимость связана возможностью инициирования переполнения кучи в функции gdk_pixbuf__jpeg_image_load_increment в процессе разбора некорректного JPEG-изображения. Проблема вызвана неправильным расчётом размера выходного буфера, который в дальнейшем используется при выполнении преобразования null_convert в libjpeg.

Уязвимости устранены в выпуске GDK-Pixbuf 2.36.7. Уязвимости пока остаются неисправленными в Debian, Ubuntu, RHEL, SUSE, openSUSE, FreeBSD, Fedora. 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сбер готов делиться технологиями автоматического выявления дипфейков
Екатерина Быстрова 29 Октября 2025 - 22:22
МошенничествоДипфейк (Deepfake)Онлайн-мошенничество Общее
Сбер готов делиться технологиями автоматического выявления дипфейков

Заместитель Председателя Правления Сбербанка Станислав Кузнецов заявил, что Сбер готов предоставлять свои технологии автоматического выявления дипфейков другим участникам рынка. Об этом он рассказал на форуме «Диалог о фейках 3.0» во время панельной дискуссии «Глобальный диалог: обеспечение цифрового суверенитета в условиях многополярности».

По словам Кузнецова, мир столкнулся с взрывным ростом дипфейков, а технологии их создания стали доступны буквально каждому — сгенерировать видео или аудио можно за несколько секунд и без затрат.

При этом дипфейки всё чаще применяются в мошеннических схемах, включая телефонное мошенничество и кражу денег.

«Если ещё в 2024 году преступники использовали базы данных, то теперь они запускают ИИ-агентов, которые сами находят нужную информацию. В основе таких преступлений — кибермистификация, когда ложь маскируется под правду с помощью технологий», — отметил Кузнецов.

Он подчеркнул, что для эффективной борьбы с дипфейками необходимо решить три ключевые задачи:

  1. Законодательно урегулировать их использование, в том числе признать применение дипфейков отягчающим обстоятельством при совершении преступлений.
  2. Развивать технологии быстрого выявления фейков и не допускать их распространения.
  3. Интегрировать системы распознавания дипфейков в массовые сервисы — смартфоны, ТВ, соцсети, мессенджеры и операторы связи.

Во время дискуссии Кузнецов продемонстрировал, как с помощью современных инструментов можно в реальном времени “надеть” лицо другого человека и заставить его говорить нужные слова. Он подчеркнул, что подобные возможности представляют серьёзную угрозу — от кражи личности до дискредитации публичных фигур.

Россия, по его словам, уже входит в число мировых лидеров по разработке технологий противодействия дипфейкам. В Сбере созданы решения, способные автоматически определять фальсификации в видео и аудио.

«Мы запатентовали собственное решение под рабочим названием Алетейя — в честь богини истины. Сервис позволяет определять дипфейки в любых системах: от телевидения до мессенджеров. И мы готовы делиться этими технологиями с партнёрами», — сказал Кузнецов.

Он добавил, что масштабное внедрение подобных систем может стать переломным моментом в борьбе с распространением дипфейков и повысить доверие к цифровому контенту.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Windows 11 научили правильно выключаться после установки обновлений
Новость
Windows 11 научили правильно выключаться после установки обн...
Данные ЭКГ можно деанонимизировать с точностью 85%
Новость
Данные ЭКГ можно деанонимизировать с точностью 85%
Мошенник обманул сотрудников магазина под видом технического специалиста
Новость
Мошенник обманул сотрудников магазина под видом технического...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.