Yo te divilge enfòmasyon sou de frajilite nan dekodè fòma JPEG XL apwovizyone nan pake a FFmpeg, ki ka mennen nan ekzekisyon an nan kòd yon atakè lè yo trete imaj ki fèt espesyalman nan FFmpeg. Pwoblèm yo te fikse nan lage FFmpeg 6.1 la, men depi sipò JPEG XL yo te pèmèt depi branch 6.1 la, vilnerabilite a sèlman afekte sistèm ki itilize eksperimantal bati FFmpeg 6.1 oswa imigre chanjman nan men yo.
Premye vilnerabilite (CVE-2024-22860) ki te koze pa yon debòde nonb antye relatif nan analizeur fòma JPEG XL, ki te parèt akòz mank de yon chèk pou depase gwosè a nan kalite int la. Dezyèm vilnerabilite (CVE-2024-22862) se akòz yon debòde nonb antye relatif nan fonksyon jpegxl_anim_read_packet yo itilize pou dekode animasyon epi li asosye ak itilizasyon kalite int64_t ki siyen olye pou uint64_t ki pa siyen. Pwoblèm yo espesifik pou FFmpeg epi yo pa parèt nan aplikasyon referans libjxl la.
Sous: opennet.ru
