VU#936962:FastStone Image Viewer 8.3.0.0 中存在多个文件解析漏洞
在 FastStone Image Viewer 8.3 中已发现两个漏洞。这些缺陷可能导致远程代码执行或控制流破坏。受影响组件包括 JPEG 2000(JP2)解析器和 PSD 文件解析器。攻击者可通过诱骗应用程序处理恶意图像文件来利用这些漏洞。JP2 解析器中存在基于堆的缓冲区溢出漏洞(CVE-2026-30040),可由格式错误的 QCD 标记触发。即使用户未直接打开文件,只要该文件位于缩略图枚举范围内,即可实现任意代码执行。PSD 解析器中存在整数溢出漏洞(CVE-2026-30041),源于高度验证不当,可导致基于堆的缓冲区溢出,进而引发代码执行或拒绝服务。利用这些漏洞可使攻击者在用户上下文中执行任意代码,且漏洞危害程度随用户权限提升而增加。目前尚无补丁可用,且无法联系厂商进行协调。建议用户使用受限账户运行该软件,并阻止从不可信来源下载 JP2 或 PSD 文件。