Ua hōʻike ʻia ka ʻike e pili ana i ʻelua mau nāwaliwali i ka decoder format JPEG XL i hoʻolako ʻia ma ka pūʻolo FFmpeg, hiki ke alakaʻi i ka hoʻokō ʻana i ke code a ka mea hoʻouka i ka wā e hana ai i nā kiʻi i hoʻolālā kūikawā ʻia ma FFmpeg. Ua hoʻopaʻa ʻia nā pilikia ma ka hoʻokuʻu ʻana o FFmpeg 6.1, akā no ka mea ua hiki ke kākoʻo ʻo JPEG XL mai ka lālā 6.1, pili wale ka nāwaliwali i nā ʻōnaehana me ka hoʻohana ʻana i nā kūkulu hoʻokolohua o FFmpeg 6.1 a i ʻole ka neʻe ʻana i nā loli mai iā lākou.
ʻO ka haʻahaʻa mua (CVE-2024-22860) ke kumu o ka integer overflow i ka JPEG XL format parser, i kū mai ma muli o ka nele o kahi māka no ka ʻoi aku o ka nui o ke ʻano int. ʻO ka lua o ka vulnerability (CVE-2024-22862) ma muli o ka integer overflow i ka hana jpegxl_anim_read_packet i hoʻohana ʻia no ka hoʻokaʻawale ʻana i nā animation a pili pū me ka hoʻohana ʻana i ke ʻano int64_t i kau inoa ʻia ma kahi o ka uint64_t i kau inoa ʻole ʻia. Pilikia nā pilikia i ka FFmpeg a ʻaʻole i ʻike ʻia i ka hoʻokō libjxl reference.
Source: opennet.ru
