漏洞概述 漏洞名称: K12 RF5 file parser stack buffer overflow 漏洞类型: 栈缓冲区溢出 发现者: bcoles 发现时间: 1个月前 状态: 已完成 影响范围 受影响软件: Wireshark、tshark、editcap 漏洞描述: 在导出K12 .rf5文件时, 函数将 和 字符串复制到栈分配的8192字节缓冲区( ),但未检查合并后的字符串长度。这可能导致123 KB的写越界,如果用户打开并导出一个精心构造的K12文件。 实际利用可能性: 由于Wireshark/tshark/editcap默认启用了保护机制(如栈金丝雀、强化内存、ASLR),实际利用可能性较低。 修复方案 AI辅助: 使用Claude Opus 4.6识别了该漏洞,但尚未确定根本原因或缓解措施。 保护分析: - FORTIFY_SOURCE捕获了第一次内存写入(destlen=81f64) - 栈金丝雀在payload偏移8150处(受保护的构建) - 如果没有上述保护,RIP控制将在payload偏移8204处 POC代码 步骤复现 1. 运行POC脚本生成恶意K12文件 2. 使用Wireshark/tshark/editcap打开并导出该文件 3. 触发栈缓冲区溢出 其他信息 健康状态: 无 时间跟踪: 无估计或已花费时间 参与者: 4人