آسیب پذیری در کتابخانه libjpeg-turbo

В libjpeg-turbo، کتابخانه ای برای رمزگذاری و رمزگشایی تصاویر JPEG، شناخته شده است آسیب پذیری (CVE-2019-2201) منجر به سرریز اعداد صحیح و متعاقب آن خراب شدن محتویات پشته هنگام پردازش فایل های JPEG به روشی خاص می شود. به طور بالقوه، این آسیب پذیری امکان ایجاد یک سوء استفاده برای سازماندهی اجرای کد در سیستم را رد نمی کند (این حمله نیاز به پردازش یک تصویر بسیار بزرگ با وضوح 26755 x 26755 دارد).

مشکل بدون تبلیغات غیر ضروری درست شد در نسخه 2.0.3، اما ظاهرا حذف شده است نه کاملا و بردارهای حمله اضافی باقی می مانند. در توزیع ها مشکل اصلاح نشده باقی می ماند (دبیان, SUSE/openSUSE, ریل, کلاه نمدی مردانه, اوبونتو).

منبع: opennet.ru