小组成员获得libjpeg库官方人员致谢

近日，清华大学软件学院软件系统安全保障小组发现一例libjpeg 漏洞（CVE-2018-11813），涉及的漏洞的版本为libjpeg-9c以及之前的版本。目前该漏洞已提交给维护该库的The Independent JPEG Group (IJG)，并得到了确认。IJG团队表示，该漏洞将在2020年发布的libjpeg-9d中进行修复，并对发现漏洞的团队研究生周炽金进行了致谢（https://jpegclub.org/reference/reference-sources/）。

（IJG发布公告致谢团队成员）

libjpeg是广泛使用在图片应用的一个基础库，IJG团队自1991年开始维护该库。此次团队发现的libjpeg漏洞具体细节为：在处理图片读取时不规范，导致在压缩图片的场景下，输入某个小文件（6142 bytes），会耗费很长的时间（~6min）然后输出一个很大的文件（21979501 bytes）。这样的漏洞在服务器端可能会导致拒绝服务攻击（DoS）。安全保障小组提醒各位开发者尽快更新版本，以规避服务器被攻击的风险。