Maelezo yamefichuliwa kuhusu athari mbili katika dekoda ya umbizo la JPEG XL inayotolewa katika kifurushi cha FFmpeg, ambayo inaweza kusababisha utekelezaji wa msimbo wa mvamizi wakati wa kuchakata picha zilizoundwa mahususi katika FFmpeg. Matatizo yalirekebishwa katika toleo la FFmpeg 6.1, lakini kwa kuwa usaidizi wa JPEG XL umewashwa tangu tawi la 6.1, athari huathiri tu mifumo inayotumia miundo ya majaribio ya FFmpeg 6.1 au kuhamisha mabadiliko kutoka kwayo.
Athari ya kwanza (CVE-2024-22860) inasababishwa na kufurika kamili katika kichanganuzi cha umbizo la JPEG XL, kilichotokea kwa sababu ya ukosefu wa hundi ya kuzidi ukubwa wa aina ya int. Athari ya pili (CVE-2024-22862) inatokana na wingi kamili katika chaguo za kukokotoa za jpegxl_anim_read_packet inayotumika kusimbua uhuishaji na inahusishwa na matumizi ya aina ya int64_t iliyotiwa saini badala ya uint64_t ambayo haijatiwa saini. Shida ni maalum kwa FFmpeg na hazionekani katika utekelezaji wa marejeleo ya libjxl.
Chanzo: opennet.ru
