OpenJPEG sıfır gün kusuru uzaktan kod yürütülmesine yol açıyor

Cisco Talos araştırmacıları, OpenJPEG JPEG 2000 codec bileşeninde, tehlike altındaki sistemlerde uzaktan kod yürütülmesine yol açabilecek ciddi bir sıfır gün kusurunu ortaya çıkardı.

Cuma günü Cisco'dan araştırmacılar, OpenJPEG kütüphanesinde uygulanan JPEG 2000 görüntü dosyası formatı ayrıştırıcısında sıfır gün kusurunun varlığını ortaya çıkardı. Sınır dışı güvenlik açığı olarak atanır CVE-2016-8332, sınır dışı yığın yazma işleminin gerçekleşmesine izin vererek yığın bozulmasına ve rastgele kod yürütülmesine neden olabilir.

JPEG'i aç açık kaynaklı bir JPEG 2000 codec bileşenidir. C dilinde yazılan yazılım, popüler kullanımda olan ve yaygın olarak kullanılan bir görüntü sıkıştırma standardı olan JPEG 2000'i tanıtmak için oluşturulmuştur. Poppler, MuPDF ve Pdfium gibi yazılımlar aracılığıyla görüntüleri PDF belgelerine gömme gibi görevler için sıklıkla kullanılır.

7,5 CVSS puanı atanan hata, jpeg2000 dosyasındaki mcc kayıtlarının ayrıştırılmasındaki hatalardan kaynaklandı ve "bir bitişik yığın alanı belleğinin hatalı okunması ve yazılması." Manipüle edilirse, bu hatalar yığın meta veri işlem belleğine yol açabilir yolsuzluk.

Bir güvenlik danışma belgesindeEkip, kurbanların özel hazırlanmış, kötü amaçlı JPEG 2000 görüntülerini açması durumunda güvenlik açığından saldırganlar tarafından yararlanılabileceğini söyledi. Örneğin, bu içeriğin bir kimlik avı e-postası içinde olup olmadığı veya Google gibi meşru hizmetlerde barındırılıp barındırılmadığı Drive veya Dropbox, sistemlerine indirildikten sonra saldırganların kod yürütmesi için yol oluşturulur uzaktan.

Güvenlik açığı, Cisco Talos güvenlik ekibinden Aleksander Nikolic tarafından OpenJpeg openjp2 sürüm 2.1.1'de keşfedildi.

Cisco Talos, 26 Temmuz'da etkilenen satıcılara bu güvenlik açığını açıkladı ve onlara sorunu kamuya açıklanmadan önce düzeltmeleri için yama hazırlamaları için zaman tanıdı.