一 漏洞概述

OpenCV (Open Source Computer Vision Library，开源计算机视觉库)是一个基于BSD许可发行的跨平台计算机视觉库，可以运行在Linux、Windows、Android和Mac OS操作系统上。OpenCV是由Intel在1999年开发的，目前由非盈利组织OpenCV.org负责维护。OpenCV主要关注实时计算机视觉应用，主要应用于面部识别、机器人、动作追踪和其他的机器学习应用，包括谷歌、微软、Intel、IBM、雅虎、索尼、宏达、Toyota等在内的大公司都在使用该计算机视觉库。
Cisco Talos研究人员在OpenCV库中发现2个严重的缓冲区溢出漏洞，攻击者利用这两个漏洞可以引发堆破坏并导致任意代码执行。这2个漏洞分别是CVE-2019-5063和 CVE-2019-5064，CVSS评分8.8分。

二 漏洞危害

CVE-2019-5063：攻击者可以通过精心伪造的XML文件来触发该漏洞，引发缓冲区溢出，最终导致多个堆破坏和潜在的代码执行。

CVE-2019-5064：攻击者可以利用精心伪造的JSON文件来触发该漏洞。

三 影响版本

v4.1.0及以下版本

四 复现过程

无

五 影响范围

根据 ZoomEye 网络空间搜索引擎[1]对关键字 “OpenCV” 进行搜索，共得到 1,197 条 IP 历史记录，主要分布在美国、中国等国家。

六 修复建议

1.漏洞于2019年7月提交给了OpenCV。2019年12月发布的OpenCV 4.2.0版本中修复了这两个漏洞。

七 相关链接

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult?q=OpenCV