达芬奇调色软件被曝两个远程代码执行缺陷

最新推荐文章于 2022-11-24 16:39:45 发布
最新推荐文章于 2022-11-24 16:39:45 发布
阅读量856 收藏
点赞数
文章标签: java linux 安全 git 信息安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247509867&idx=1&sn=93214fdc60284accec3c22a7141fde9e&chksm=ea949601dde31f17bdc57355f657fa53b6e2d8d1988e467968d11fcd9fa56961adb4e86660c8&scene=126&&sessionid=0
版权

3943ab9415a64f63f41facd7e81ca0a2.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Blackmagci Software 公司最近修复了非常热门的达芬奇调色 (DaVinci Resolve) 软件中的两个漏洞,它们可导致攻击者在未修复系统上执行代码。

达芬奇调色软件是免费的软件平台,是视频编辑和颜色修正、视觉效果、动态图像和音频后期制作工具的一体化解决方案。正如其开发者 Blackmagic 所述,达芬奇调色是“好莱坞最流行的编辑解决方案”,适用于 Mac、Windows 和 Linux 系统。

严重的远程代码执行缺陷

思科 Talos 团队的两名研究员从该软件中发现了两个远程代码执行漏洞(CVE-2021-40417和CVE-2021-40418),它们的CVSSv3 评分都是9.8分。它们都是由达芬奇调色DPDecoder 服务中的弱点引起的,是由解码视频文件时触发的堆缓冲区溢出漏洞或解析视频文件时触发的不正确的UUID造成的。

研究人员解释称,“CVE-2021-40417是一个基于堆的缓冲区溢出漏洞,当该应用面临一个整数溢出条件时即触发,在解码视频文件时,该整数溢出条件将导致符号延伸。CVE-2021-40418也可导致代码执行后果,但是由不正确的UUID导致的未初始化对象成员引发的。”远程攻击者可利用这两个漏洞发动复杂度低的攻击,无需认证或用户交互即可成功利用这两个漏洞。

补丁已发布

安全研究员在分析达芬奇调色软件版本 17.3.1.0005 时发现了这两个代码执行漏洞。

Blackmagic 已修复这两个漏洞,建议用户尽快更新至最新版本 17.4.3。

研究人员指出,“思科Talos 和 Blackmagic 协作,确保漏洞已解决且受影响客户收到更新。”

于本周早些时候发布的达芬奇调色软件 17.4.3 变更日志中还说明了安装该软件的详细步骤。

推荐阅读

点击一下,即可在 Windows 10 实现路过式远程代码执行,未修复

速修复!Palo Alto GlobalProtect VPN 中存在严重的远程代码执行漏洞

详述Visual Studio 代码远程开发扩展中的远程命令执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

详述 PyPI 中的远程代码执行漏洞,可引发供应链攻击

原文链接

https://www.bleepingcomputer.com/news/security/blackmagic-fixes-critical-davinci-resolve-code-execution-flaws/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

f35d1a3784d0da0cd5a5df8ef1770859.png

fdf636facd0d6778737404b377c75954.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   84e1be957ffc55a368767960d81dfb36.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

windows系统安装docker版本davinci达芬奇踩坑指南
qq_30921461的博客
01-25 2887
本文讲解windows系统如何安装docker版开源软件davinci(数据可视化web服务),并指出一系列的踩坑指南。 达芬奇github地址https://github.com/edp963/davinci 目录 一 安装docker环境 1 根究你的windows系统是win7,win8或者是win10系统有2种安装方式。 2 验证docker是否安装好 二 docker安装达芬奇davinci服务 1 去docker hub仓库寻找自己想要安装的davinci镜像版本 ...
菜鸟黑客的第一天——一些基础的手法
菜鸟-Davinci
01-02 5475
1、黑客入侵的流程 收集目标系统的信息=》挖掘目标的漏洞和弱点=》获取目标使用权限=》开辟后门准备入侵 2、黑客入侵的常见手法 (1)口令入侵 通过合法账户登陆实施攻击,首先弄到合法账号,然后进行密码破译。 (2)特洛伊木马 伪装成工具程序潜入电脑,将收集到的信息报告给入侵者,然后入侵者利用该木马进行对肉机的操控 (3)电子邮件攻击 发送邮件炸弹或在邮件中植入木马程序或病毒 (4
弱口令=没上锁的门
qq_41819939的博客
11-24 700
就在刚刚,2022年全球最常用密码名单公布了。吃瓜群众表示没有88888888不是很赞同🐶。
log4cxx使用遇见的问题
不想做咸鱼的咸鱼的专栏
01-30 1533
在用gdb调试的时候,报错如下 ①:IO Exception : status code =28 这种情况很有可能是磁盘满了引起。
达芬奇15中文版
yang199902的博客
09-25 1432
教程: 1、下载解压,得到davinci resolve 15原程序和文件; 2、双击文件“DaVinci_Resolve_Studio_15.0b2_Windows.exe”依提示安装原程序; 3、达芬奇软件需要安装必要的组件,一般按默认安装即可; 4、组件成功安装后,勾选“i accept the terms in.....”同意软件条款继续安装; 5、软件安装目录默认为【C:\Program Files\Blackmagic Design\DaVinci Resolve\】可以自..
达芬奇调色软件
05-22
达芬奇调色软件,全称为DaVinci Resolve,是一款全球领先的视频后期制作工具,尤其在色彩校正和调色领域具有极高的专业性。这款软件由Blackmagic Design公司开发,集成了剪辑、调色、视觉效果以及音频后期制作等多...
影像志达芬奇调色新手到精通视频课程下载整理.zip
最新发布
08-21
本课程旨在帮助学员从零基础快速掌握这款强大的调色软件,提升视频制作技能。 课程内容可能涵盖以下几个方面: 1. **软件界面与基础操作**:介绍DaVinci Resolve的工作环境,包括媒体池、时间线、调色界面和交付...
掌握色彩艺术:达芬奇调色软件介绍
达芬奇调色软件DaVinci Resolve)是一款先进的视频后期制作软件,它提供了高质量的图像处理和颜色校正功能,特别适用于电影、电视、视频制作和广播行业。该软件由Blackmagic Design公司开发,广泛应用于专业影视...
DaVinci Resolve 12 Studio Mac (达芬奇调色软件) V12.5.5 中文专业版
09-30
DaVinci Resolve 12.5 mac 是一款为Mac OS 平台开发的达芬奇调色系统,DaVinci Resolve mac 即是大家俗称的达芬奇12,DaVinci Resolve mac 破解 是与好莱坞电影公司合作开发的世界顶级的调色软件,被广泛的用于电影....
达芬奇调色软件DaVinciResolveStudiov15.2.3forMac中文英文特别版
07-25
达芬奇调色15 mac版是世界上第一个将专业离线和在线编辑,色彩校正,音频后期制作和现在视觉效果集成在一个软件工具中的解决方案,英文名称:davinci resolve 15,该软件可让个别艺术家轻松探索不同的工具集,使用户...
tcping工具,windows下
05-04
windows下的tcping工具下载,禁止ping也能ping
front-end:达芬奇编码2015项目的前端代码
05-21
Chasing Pictures-达芬奇编码2015 这是Chasing Pictures项目的前端代码的存储库。 在这里,我们将为连接到用户开发一个Android智能手机应用程序。 要求 在Android API 15或更高版本(或实际设备)上运行的Android虚拟设备。 执照 所有代码和设计元素均根据MIT许可发布。 有关详细信息,请参见LICENSE.md。 二手图书馆 此应用程序使用以下库,这些库均在: 用于连接到REST后端。 Jackson 和 (用于反序列化JSON) 用于使用服务显示地图。 可在任何地方进行简单烘烤
达芬奇Design DaVinci Resolve Studio 12.5.5-16.2.7
weixin_42793435的博客
11-08 992
软件简介 Design DaVinci Resolve Studio 中文名称“达芬奇调色DaVinci Resolve 是全球第一套在同一个软件工具中,将专业离线编辑精编、校色、音频后期制作和视觉特效融于一身的解决方案!由于DaVinci Resolve 将所有功能集于一套软件应用程序,您无需在不同的软件工具之间导出或转换文件。DaVinci Resolve 是唯一一套为真正协同作业所设计的后期制作软件。多名剪辑师、助理、调色师、视觉特效师和音响设计师可以同时处理同一个项目!无论您是个人艺术家,还是创意
debug目录下的exe能在另的电脑上运行吗_达芬奇Davinci调色软件卡在启动界面不能运行的解决办法...
weixin_28695537的博客
01-15 1269
达芬奇Davinci Resolve是一款著名的视频剪辑和调色软件,深受摄影爱好者,特别是视频创作者的喜爱。前不久更换了新电脑,打算安装这款软件学习使用,安装过程很顺利,但在安装后启动运行时,Davinci 程序却一直卡在”正在加载FAIRLIGHT页面“无法继续运行(如下图一),电脑上安装的是Davinci Resolve v16.2 版本,操作系统为windows 10 2004,显卡NVID...
宜信开源|漏洞管理平台『洞察』部署指南
chenxi4820的博客
07-15 2085
『洞察』——集成应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的管理平台。 『洞察』使用了Python语言进行开发,利用Flask框架+MySQL+Docker部署实现。 一、部署和启动mysql docker pull mysql:5.7.13 docker run -d -...
Davinci一键部署 | 论如何三句代码跑起Davinci
weixin_34290352的博客
03-22 1726
来源:敏捷大数据作者:汤波成宜信技术学院导读:之前喜欢Davinci的小伙伴儿在安装部署Davinci遇见问题时需要在github issue区等待技术人员的解答。现在不用怕啦,社区热心用户白菜君帮我们支持了docker-composer一键启动,以后只需寥寥几行代码,Davinci就能舒畅的run起来了。还等什么,赶紧部署起来吧~敲重点Davinci Docker原部署教程在这里:https:/...
帮您快速入门 TI 的 Codec Engine
msebilly的专栏
12-25 848
http://focus.ti.com.cn/cn/general/docs/gencontent.tsp?contentId=61575 德州仪器半导体技术(上海)有限公司 通用DSP 技术应用工程师 崔晶德州仪器(TI)的第一颗达芬奇DaVinci)芯片(处理器)DM6446已经问世快三年了。继DM644x之后,TI又陆续推出了DM643x,DM35x,DM6467,OMAP
「非编软件达芬奇非编软件升级为付费版的6个理由
Diblue2019的博客
07-06 4419
众所周知,达芬奇非编软件有两种模式:一种是免费的,一种是收费版本。价格在2600大洋。如题所说:我为什么要建议大家升级到付费版本呢?下面我总结了6点。希望能够让大家更清楚的认识到免费版和收费版的具体区别。 一次购买终身使用 Studio版本为收费版,价格在2600大洋,并且可以终身升级,付费后,您无需再付费。大家可以在Apple Store中独立购买该软件然后安装到自己的电脑上,也可以购买USB密钥卡随附的加密狗版本。加密狗版本的优势就是能够随处携带Resolve Studio。对于想在家中和办公室工作而
Davinci源码部署—后端代码本地部署
oracle8090的博客
05-25 3744
Davinci源码地址:https://github.com/edp963/davinci 本人环境: davinci 0.3 node v10.15.3 npm 6.4.1 idea 2018.3 jdk 1.8.0_192 maven 3.6.1 mysql 5.7 一、创建数据库 数据库的名称对应代码中配置的数据库 数据库初始化脚本: 数据库要安装5.5+版本,脚本中的语法在5.5以下版本无法识别 二、将代码再idea中打开 省略 三、配置jdk meaven 省略 四、.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值