FastStone Image Viewer的CVE-2024-9112等漏洞

FastStone Image Viewer 是一款免费（非商业用途）且小巧的看图软件，支持PCX、BMP、JPEG、动画GIF、PNG等几乎所有图片格式。

FastStone Image Viewer 采用方便的操作界面，可以通过操作界面浏览图片且支持幻灯播放的功能，可以轻松的浏览目录中的所有图片。

一、基本情况

FastStone Image Viewer 集图像浏览、图像编辑以及图像转换于一身，堪称是一款快速、小巧、功能强大于ACDSee的综合图像处理软件。

FastStone Image Viewer在全屏幕模式查看和浏览图片同时快速存取EXIF信息，鼠标指向屏幕四角时快速弹出图片属性及图像处理应用。

FastStone Image Viewer 支持无损JPEG转换，添加阴影效果，图像标注，扫描仪支持，直方图等，支持裁剪、色彩调整等图像处理功能。

栋科技漏洞库关注到FastStone Image Viewer存在多个远程代码执行漏洞，追踪为CVE-2024-9112、CVE-2024-9113、CVE-2024-9114。

二、漏洞分析

CVE-2024-9112

CVE-2024-9112是FastStone Image Viewer存在的PSD文件解析越界写入远程代码执行漏洞，位于PSD文件解析过程中，CVSS评分7.8。

该漏洞源于对用户提供的数据的验证不足，这可能导致写入操作超出已分配对象的末尾，攻击者利用该漏洞在当前进程上下文中执行代码。

漏洞允许远程攻击者在安装FastStone Image Viewer受影响系统上执行任意代码，利用前提是需用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9113

CVE-2024-9113是FastStone Image Viewer存在的TGA文件解析越界写入远程代码执行漏洞，位于TGA文件解析过程中，CVSS评分7.8。

该漏洞源于对用户提供数据的验证不足，可能导致写入超过已分配缓冲区的末尾，攻击者可利用此漏洞在当前进程的上下文中执行代码。

漏洞允许远程攻击者在安装FastStone Image Viewer受影响系统上执行任意代码，利用前提是需用户与恶意页面进行交互或打开恶意文件。

CVE-2024-9114

CVE-2024-9114是FastStone Image Viewer中存在的GIF文件解析越界写入远程代码执行漏洞，位于GIF文件解析过程中，CVSS评分7.8。

该漏洞源于对用户提供输入数据缺乏适当验证，可能导致写入操作超出已分配缓冲区的末尾，利用该漏洞可在当前进程上下文中执行代码。

漏洞允许远程攻击者在安装FastStone Image Viewer受影响系统上执行任意代码，利用前提是需用户与恶意页面进行交互或打开恶意文件。

三、影响范围

FastStone Image Viewer <= 7.8

四、修复建议

FastStone Image Viewer > 7.8

五、参考链接

此处内容已隐藏，评论后刷新即可查看！