Выпущенное на прошлой неделе обновление библиотеки OpenJPEG устраняет несколько уязвимостей. Среди них есть брешь, позволяющая выполнить произвольный код, используя специально созданные файлы-изображения.
OpenJPEG - библиотека с открытым исходным кодом, предназначенная для кодирования и декодирования изображений формата JPEG2000, который часто используется для встраивания изображений в PDF-документы. OpenJPEG используется популярными программами для просмотра PDF, например, встроенная в Google Chrome PDFium использует эту библиотеку.
Исследователи Cisco обнаружили, что можно проэксплуатировать, если удастся заставить пользователя открыть специально созданное JPEG2000-изображение или PDF-документ, содержащий такое изображение.
В случае атаки, описанной экспертами, злоумышленник прикрепляет вредоносный файл к электронному письму или загружает на сервисы вроде Dropbox или Google Drive и затем дает пользователю ссылку на него.
Об этой уязвимости (CVE-2016-8332) разработчикам OpenJPEG было сообщено в конце июля. На прошлой неделе, с выходом , брешь была исправлена.
