一、 基本情况

      OpenCV库中存在两个缓冲区溢出漏洞，CVE编号：CVE-2019-5063、CVE-2019-5064。攻击者可利用以上漏洞导致堆损坏和潜在的代码执行。

      二、 攻击原理

      OpenCV是一个基于BSD许可（开源）发行的跨平台计算机视觉库，可以运行在Linux、Windows、Android和Mac OS操作系统上。

      OpenCV XML持久性解析器缓冲区溢出漏洞（CVE-2019-5063）：

      OpenCV 4.1.0的数据结构持久性功能中存在可利用的堆缓冲区溢出漏洞。特制的XML文件可导致缓冲区溢出，从而导致多个堆损坏和潜在的代码执行。攻击者可以提供特制文件来触发此漏洞。

      OpenCV JSON持久性分析器缓冲区溢出漏洞（CVE-2019-5064）：

      OpenCV 4.1.0版的数据结构持久性功能中存在一个可利用的堆缓冲区溢出漏洞。特制的JSON文件可导致缓冲区溢出，从而导致多个堆损坏并可能执行代码。攻击者可以提供特制文件来触发此漏洞。

      三、 影响范围

      OpenCV 4.1.0

      四、 处置建议

      目前官方已发布最新版本，请及时升级更新：

      https://opencv.org/opencv-4-2-0/

      五、参考链接

      1) https://blog.talosintelligence.com/2020/01/opencv-buffer-overflow-jan-2020.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+feedburner%2FTalos+%28Talos%E2%84%A2+Blog%29