The Cloudflare Blog
·
Cloudflare Images 如何解决 aCropalypse 漏洞问题
💡
原文英文,约1300词,阅读约需5分钟。
📝
内容提要
Acropalypse (CVE-2023-21036)是一种图像编辑工具的漏洞,可能导致裁剪图像时残留部分泄露。受影响的应用程序包括Google Pixel的截图编辑器和Windows截图工具。Cloudflare Images客户可能存在受影响的图像,需要注意使用易受攻击的编辑器时的隐私风险。
🎯
关键要点
- Acropalypse (CVE-2023-21036) 是一种图像编辑工具的漏洞,可能导致裁剪图像时残留部分泄露。
- 受影响的应用程序包括 Google Pixel 的截图编辑器和 Windows 截图工具。
- Cloudflare Images 客户可能存在受影响的图像,需注意使用易受攻击的编辑器时的隐私风险。
- 漏洞可能影响任何忽略图像结束后数据的图像格式。
- Cloudflare Images 产品通过代理处理请求,能有效防止 Acropalypse 漏洞。
- 代理会忽略输入中的尾随数据,因此不会出现在重新编码的图像中。
- 为了确保不传递带有尾随数据的图像,需检测 JPEG 和 PNG 格式的尾随数据。
- JPEG 格式使用 libjpeg-turbo 库进行解码,能够检测尾随数据。
- PNG 格式使用 lodepng 库,结构简单,易于检测尾随数据。
- Cloudflare Images 和 Image Resizing 产品的客户已得到保护,未对原始图像进行更改,也未增加延迟或回归。
➡️
