Nikon  NEF Codec 远程代码执行漏洞CVE-2024-8025

Nikon NEF Codec是一款简易实用，功能全面的尼康图像解码，支持用户预览尼康系列数码照，可支持放大、缩小、旋转、缩略图等功能。

NEF Codec 方便用户查看和处理照片，帮用户完成尼康RAW图像的工作，可快速轻松地将电脑变成操作尼康电子格式（NEF）文件工具。

一、基本情况

Nikon NEF Codec（图像解码器）是由Nikon官方推出的一款尼康图像解码器，该软件允许用户在Windows资源管理器中预览尼康原图像。

NEF Codec兼容 D800E、 D610、 D7100、 D5300以及D5200等型号，支持在Windows图片浏览器打开的文件和Windows Live照片画廊。

NEF Codec的模组可使NEF（RAW）文件的处理与相应JPEG和TIFF版本的处理一样简单，NEF编解码器可说是尼康相机所有者必备的。

栋科技漏洞库关注到尼康NEF编解码器缩略图提供程序NEF Codec中的一个远程代码执行漏洞，追踪为CVE-2024-8025，CVSS评分7.0。

二、漏洞分析

CVE-2024-8025是尼康NEF编解码器缩略图提供程序Nikon NEF Codec中，存在的NRW文件解析基于堆的缓冲区溢出远程代码执行漏洞。

该漏洞具体存在于NRW文件的解析过程中，漏洞源于在将用户提供的数据复制到基于堆的缓冲区之前，没有对数据的长度进行适当验证。

该漏洞允许远程攻击者在安装了尼康NEF Codec的受影响系统上执行任意代码，攻击者可以利用此漏洞在当前进程的上下文中执行代码。

尽管如此，要利用该漏洞需要前提，即需要用户与恶意页面进行交互或打开恶意文件，建议更新当前系统或软件至最新版，完成漏洞修复。

三、影响范围

Nikon NEF Codec <= 1.31.2 

四、影响范围

Nikon NEF Codec > 1.31.2

五、参考链接

 https://downloadcenter.nikonimglib.com/en/download/sw/259.html