漏洞概述 在 包中发现两个无限循环/拒绝服务(DoS)漏洞。这些漏洞分别存在于 HEIF 和 JXL 图像解析代码中,以及 ICNS 代码路径中。 影响范围 漏洞编号 1:影响所有版本直到至少 2.0.2(目前仍未修复)。 漏洞编号 2:同样影响所有版本直到至少 2.0.2(目前仍未修复)。 修复方案 漏洞编号 1: - 在 JXL 图像解析代码中, 函数可能导致无限循环。 - 在 HEIF 图像解析代码中, 函数可能导致无限循环。 - 需要检查并修复这些函数中的逻辑,确保在特定条件下不会进入无限循环。 漏洞编号 2: - 在 ICNS 代码路径中, 循环可能导致无限循环。 - 需要检查并修复该循环中的逻辑,确保在特定条件下不会进入无限循环。 POC 代码 漏洞编号 1 的 POC 代码 漏洞编号 2 的 POC 代码 总结 这两个漏洞都可能导致无限循环,从而引发拒绝服务(DoS)攻击。需要尽快修复这些漏洞以确保系统的安全性。