Otwarcie obrazu w formacie JPEG2000 może dawać wykonanie kodu – błąd w bibliotece OpenJPEG

Specjaliści z Cisco opublikowali informację o podatności w przeszło 10-letniej bibliotece OpenJPEG. Wystarczy otworzyć odpowiednio przygotowany obrazek:

This particular vulnerability could allow an out-of-bound heap write to occur, resulting in heap corruption and lead to arbitrary code execution (…)

Exploitation of this vulnerability is possible if a user were to open a file containing a specifically crafted JPEG 2000 image that exploits this flaw.

Autorzy badania wskazują, że podatne mogą być również czytniki PDF – w PDFach obrazki często bowiem zamieszcza się korzystając właśnie z JPEG 2000. Tak to wygląda m.in. w PDFium, domyślnym czytniku w Chrome, choć warto zaznaczyć że oryginalne badanie nie wskazuje exploita na Chrome.

–ms