用户希望我总结网页截图中的漏洞信息。 我需要提取以下关键信息: 1. 漏洞概述 (Summary): 从 "Summary" 部分提取。 2. 影响范围 (Affected components): 从 "Details" 部分提取。 3. 修复方案 (Fix merged): 从 "Details" 部分提取。 4. POC/利用代码: 检查是否有代码块。 分析截图内容: 标题: SBO in CiccCalculatorFunc::Apply() Summary: 提到 提供了用于 ICC 颜色管理配置文件交互、操作和应用的库。这个库允许通过 触发堆栈缓冲区溢出(stack-buffer-overflow)。当提供过大的 参数时,会触发此漏洞。 Details: Affected components: (CiccCalculatorFunc::Apply()) Fix merged: 2020-03-15 PR #873 Impact: 崩溃 (crash the process) Reproducible: 使用 POC 输入 -> 崩溃 (crash) 提取代码: 在 "Summary" 部分提到了 ,但这只是函数名,不是完整的 POC 代码。 在 "Update" 部分有一些命令(npm, docker),这些是构建/运行命令,不是漏洞利用代码。 在 "Details" 部分没有看到具体的 POC 代码块。 等等,仔细看 "Summary" 部分,它描述了漏洞触发条件: when provided an oversized parameter. 这算是描述,不是代码。 再仔细看 "Update" 部分,有 和 。这些是环境搭建。 在 "Details" 部分,有一行 。这暗示了 POC 在 issue #873 里,但截图里没有直接展示 POC 代码块。 再检查一遍,确实没有显式的代码块(如 )。只有函数调用描述。 不过,用户要求“如果页面中包含POC代码或利用代码,务必完整提取代码块”。既然没有显式的代码块,我就不需要提取代码块,只需要总结文字描述。 构建总结: 漏洞概述: 库中的 函数存在堆栈缓冲区溢出(SBO)漏洞。当传入过大的 参数时,会触发此漏洞。 影响范围: 。 修复方案: 2020年3月15日合并的 PR #873。 POC: 页面未直接提供完整代码块,仅提到使用 POC 输入会导致进程崩溃(crash)。 最终检查: 语言:中文。 格式:Markdown。 内容:概述、影响、修复。 代码:无(页面未包含)。 修正: 再次仔细看 "Update" 部分,那里有 和 。这些是安装和运行环境的命令,虽然不是直接的 exploit,但属于 "Update" 部分的内容,可能被视为相关操作。不过用户问的是 "POC代码或利用代码"。通常指 exploit 脚本。这里没有。 最终输出结构: 漏洞概述 ... 影响范围 ... 修复方案 ... 相关代码/命令 (如果有) (这里没有 exploit 代码,只有安装命令,可以略过或者作为补充,但用户主要问的是 POC。既然没有 POC,就不写代码块部分,或者只提一下没有。) -> 决定不写代码块部分,因为确实没有。 等等,再看一眼 "Details" -> "Reproducible: use POC input -> Adam exploit in issue #873"。这确认了没有代码在页面上。 好的,开始撰写。 漏洞概述 库提供了用于 ICC 颜色管理配置文件交互、操作和应用的函数。该库中的 函数存在堆栈缓冲区溢出(SBO)漏洞。当向该函数提供过大的 参数时,会触发此漏洞,导致进程崩溃。 影响范围 受影响组件: (CiccCalculatorFunc::Apply()) 影响: 进程崩溃 (crash the process) 修复方案 修复合并时间: 2020-03-15 修复 PR:** #873 相关代码/命令 页面未直接提供完整的 POC 利用代码,仅提及在 Issue #873 中使用了 "Adam exploit" 作为 POC 输入。页面提供了以下安装和运行环境的命令: